CVE-2023-37462 in XWikiinformação

Sumário

de VulDB • 09/05/2026

A plataforma XWiki é uma plataforma wiki genérica que oferece serviços de tempo de execução para aplicativos construídos sobre ela. O escape inadequado no documento `SkinsCode.XWikiSkinsSheet` cria um vetor de injeção que eleva os direitos de visualização desse documento para direitos de programação; em outras palavras, é possível executar macros de script arbitrárias, incluindo macros Groovy e Python, que permitem a execução remota de código (RCE), incluindo acesso de leitura e gravação irrestrito a todo o conteúdo da wiki. O ataque ocorre ao abrir uma página inexistente com um nome elaborado para conter uma carga útil perigosa. É possível verificar se uma instalação existente é vulnerável. Consulte o GHSA vinculado para obter instruções sobre como testar uma instalação. Este problema foi corrigido nas versões XWiki 14.4.8, 14.10.4 e 15.0-rc-1. Recomenda-se que os usuários atualizem. O commit de correção `d9c88ddc` também pode ser aplicado manualmente ao documento afetado `SkinsCode.XWikiSkinsSheet`, e os usuários que não conseguirem atualizar são aconselhados a aplicar manualmente o patch em suas instalações.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub, Inc.

Reservar

06/07/2023

Divulgação

15/07/2023

Moderação

aceite

Entrada

VDB-234205

CPE

pronto

EPSS

0.91346

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!