CVE-2023-45135 in XWiki
Sumário
de VulDB • 11/05/2026
A plataforma XWiki é uma plataforma wiki genérica que oferece serviços de tempo de execução para aplicativos construídos sobre ela. Nas versões 7.2-milestone-2 até 14.10.12 do pacote `org.xwiki.platform:xwiki-platform-web` e nas versões anteriores a 14.10.12 e 15.5-rc-1 do pacote `org.xwiki.platform:xwiki-platform-web-templates`, é possível passar um título para a ação de criação de página que não é exibido inicialmente, mas é executado na segunda etapa. Isso pode ser usado por um atacante para enganar uma vítima e fazer com que execute código, permitindo a execução de scripts se a vítima tiver permissão de script, ou execução remota de código (RCE), incluindo acesso total à instância do XWiki, se a vítima tiver permissão de programação.
Para que o ataque funcione, o atacante precisa convencer a vítima a visitar um link como `/xwiki/bin/create/NonExistingSpace/WebHome?title=$services.logging.getLogger(%22foo%22).error(%22Script%20executed!%22)`, onde `` é a URL da instalação do Wiki, e clicar no botão "Create" (Criar) nessa página. A página parece uma página regular do XWiki que a vítima também veria ao clicar no botão para criar uma página que ainda não existe; o código malicioso não é exibido em nenhum lugar dessa página. Após clicar no botão "Create", o título malicioso seria exibido, mas nesse ponto o código já foi executado, e o atacante poderia usar esse código também para ocultar o ataque, por exemplo, redirecionando a vítima novamente para a mesma página com um título inocente. Portanto, parece plausível que esse ataque possa funcionar se o atacante puder colocar um botão falso de "criar página" em uma página, o que é possível com permissão de edição.
Isso foi corrigido nas versões 14.10.12 do `org.xwiki.platform:xwiki-platform-web` e 14.10.12 e 15.5-rc-1 do `org.xwiki.platform:xwiki-platform-web-templates`, exibindo o título já na primeira etapa, de modo que a vítima possa perceber o ataque antes de continuar. É possível aplicar manualmente o patch nos arquivos modificados a partir do patch em uma instalação existente. Para a alteração no JavaScript, o arquivo JavaScript minificado precisaria ser obtido a partir de uma compilação do XWiki e substituído conforme o necessário.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.