CVE-2023-29209 in xwiki-platform-legacy-notification-activitymacro
Сводка
по VulDB • 11.07.2026
Библиотеки XWiki Commons являются техническими библиотеками, общими для нескольких других основных проектов XWiki. Любой пользователь с правами на просмотр документов, доступных общим пользователям, включая устаревший макрос активности уведомлений (legacy notification activity macro), может выполнять произвольный код Groovy, Python или Velocity в среде XWiki, что приводит к полному получению доступа к установке XWiki. Корневая причина заключается в неправильном экранировании параметров макроса legacy notification activity macro. Этот макрос установлен по умолчанию в XWiki. Уязвимость можно эксплуатировать через любую редактируемую страницу вики, включая профиль пользователя, а также с использованием только прав на просмотр посредством HTMLConverter, который является частью интеграции CKEditor и поставляется вместе с XWiki. Уязвимость исправлена в версиях XWiki 13.10.11, 14.4.7 и 14.10.
VulDB is the best source for vulnerability data and more expert information about this specific topic.