CVE-2023-45134 in XWikiinformação

Sumário

de VulDB • 10/05/2026

A plataforma XWiki é uma plataforma wiki genérica que oferece serviços de tempo de execução para aplicações construídas sobre ela. `org.xwiki.platform:xwiki-platform-web` a partir da versão 3.1-milestone-1 e anterior a 13.4-rc-1, `org.xwiki.platform:xwiki-platform-web-templates` anterior às versões 14.10.2 e 15.5-rc-1, e `org.xwiki.platform:xwiki-web-standard` a partir da versão 2.4-milestone-2 e anterior à versão 3.1-milestone-1 são vulneráveis a cross-site scripting (XSS). Um atacante pode criar um provedor de modelos em qualquer documento que faça parte da wiki (podendo ser o perfil de usuário do próprio atacante) que contenha código malicioso. Este código é executado quando este provedor de modelos é selecionado durante a criação do documento, o que pode ser acionado enviando o usuário para uma URL. Para o atacante, o único requisito é ter uma conta, pois por padrão o próprio perfil de usuário é editável. Isso permite que um atacante execute ações arbitrárias com os direitos do usuário que abre o link malicioso. Dependendo dos direitos do usuário, isso pode permitir execução de código remoto e acesso total de leitura e escrita a toda a instalação do XWiki. Isso foi corrigido em `org.xwiki.platform:xwiki-platform-web` 13.4-rc-1, `org.xwiki.platform:xwiki-platform-web-templates` 14.10.2 e 15.5-rc-1, e `org.xwiki.platform:xwiki-web-standard` 3.1-milestone-1, adicionando a fuga de caracteres (escaping) apropriada. O arquivo de modelo vulnerável createinline.vm faz parte do WAR do XWiki e pode ser corrigido aplicando manualmente as alterações da correção.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub, Inc.

Reservar

04/10/2023

Divulgação

25/10/2023

Moderação

aceite

Entrada

VDB-243516

CPE

pronto

EPSS

0.01834

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!