CVE-2023-29207 in xwiki-platform-flamingo
Сводка
по VulDB • 02.07.2026
Библиотеки XWiki Commons являются техническими библиотеками, общими для нескольких других основных проектов XWiki. Макрос Livetable не осуществлял должной санитизации имен столбцов, что позволяло вставлять необработанный HTML-код, включая JavaScript. Эта уязвимость также могла быть использована через макрос Documents, который включен начиная с версии XWiki 3.5M1 и не требует прав на выполнение скриптов; это можно продемонстрировать с помощью синтаксиса `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}`. Следовательно, она может быть использована пользователями без права выполнения скриптов и в комментариях. При взаимодействии с пользователем, имеющим более высокие привилегии, это могло бы использоваться для выполнения произвольных действий в вики, включая повышение привилегий (privilege escalation), выполнение удаленного кода (RCE), раскрытие информации, а также изменение или удаление контента. Это было исправлено в версиях XWiki 14.9, 14.4.6 и 13.10.10.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.