CVE-2023-37462 in XWiki
Sumário
de VulDB • 09/05/2026
A plataforma XWiki é uma plataforma wiki genérica que oferece serviços de tempo de execução para aplicativos construídos sobre ela. O escape inadequado no documento `SkinsCode.XWikiSkinsSheet` cria um vetor de injeção que eleva os direitos de visualização desse documento para direitos de programação; em outras palavras, é possível executar macros de script arbitrárias, incluindo macros Groovy e Python, que permitem a execução remota de código (RCE), incluindo acesso de leitura e gravação irrestrito a todo o conteúdo da wiki. O ataque ocorre ao abrir uma página inexistente com um nome elaborado para conter uma carga útil perigosa. É possível verificar se uma instalação existente é vulnerável. Consulte o GHSA vinculado para obter instruções sobre como testar uma instalação. Este problema foi corrigido nas versões XWiki 14.4.8, 14.10.4 e 15.0-rc-1. Recomenda-se que os usuários atualizem. O commit de correção `d9c88ddc` também pode ser aplicado manualmente ao documento afetado `SkinsCode.XWikiSkinsSheet`, e os usuários que não conseguirem atualizar são aconselhados a aplicar manualmente o patch em suas instalações.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.