CVE-2023-29209 in xwiki-platform-legacy-notification-activitymacro
Sumário
de VulDB • 11/07/2026
As bibliotecas comuns do XWiki Commons são componentes técnicos compartilhados por vários outros projetos de alto nível da família XWiki. Qualquer usuário com direitos de visualização em documentos amplamente acessíveis, incluindo a macro legada de atividade de notificação (legacy notification activity macro), pode executar código Groovy, Python ou Velocity arbitrário no ambiente XWiki, o que resulta em acesso completo à instalação do XWiki. A causa raiz é uma fuga inadequada daspasagens de caracteres (improper escaping) nos parâmetros da macro legada de atividade de notificação. Esta macro vem instalada por padrão no XWiki. A vulnerabilidade pode ser explorada através de qualquer página wiki editável, incluindo o perfil do usuário, mas também com apenas direitos de visualização utilizando o HTMLConverter, que faz parte da integração CKEditor incluída na distribuição do XWiki. A vulnerabilidade foi corrigida nas versões 13.10.11, 14.4.7 e 14.10 do XWiki.
If you want to get best quality of vulnerability data, you may have to visit VulDB.