CVE-2023-29207 in xwiki-platform-flamingothông tin

Tóm tắt

Bởi VulDB • 02/07/2026

Các thư viện kỹ thuật của XWiki Commons là các thành phần chung cho nhiều dự án cấp cao khác trong hệ sinh thái XWiki. Macro Livetable không thực hiện việc làm sạch tên cột một cách đúng đắn, do đó cho phép chèn mã HTML thô bao gồm cả JavaScript. Lỗ hổng này cũng có thể bị khai thác thông qua Documents Macro (có sẵn kể từ phiên bản XWiki 3.5M1) mà không yêu cầu quyền script; điều này có thể được minh họa bằng cú pháp `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}`. Do đó, lỗ hổng này cũng có thể bị khai thác bởi người dùng không có quyền script và thông qua các phần bình luận. Khi tương tác với một người dùng có nhiều đặc quyền hơn, nó có thể được sử dụng để thực thi các hành động tùy ý trong wiki, bao gồm nâng cao đặc quyền (privilege escalation), thực thi mã từ xa (RCE), tiết lộ thông tin, cũng như sửa đổi hoặc xóa nội dung. Lỗ hổng này đã được vá trong XWiki 14.9, 14.4.6 và 13.10.10.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!