CVE-2023-29509

org.xwiki.platform:xwiki-platform-flamingo-theme-ui Eval Injection vulnerability

CVSS 10 CRITICALEPSS 76.3%CWE-95

Em resumo

Uma falha no tema Flamingo do XWiki permite que qualquer usuário com permissão de visualização execute código malicioso (Groovy, Python ou Velocity) que pode controlar toda a instalação do XWiki. O problema ocorre porque a macro documentTree não limpa adequadamente a entrada do usuário antes de processar.

Detalhe técnico

A macro documentTree em FlamingoThemesCode.WebHome não escapa adequadamente os parâmetros, permitindo injeção de código. Um usuário autenticado com direitos de visualização pode injetar código arbitrário em Groovy, Python ou Velocity através dos parâmetros da macro, resultando em execução remota de código com acesso completo à instalação. O ataque requer apenas permissões de visualização em documentos instalados por padrão.

Resumo gerado e traduzido por IA a partir da descrição oficial.

XWiki Commons are technical libraries common to several other top level XWiki projects. Any user with view rights on commonly accessible documents can execute arbitrary Groovy, Python or Velocity code in XWiki leading to full access to the XWiki installation. The root cause is improper escaping of the `documentTree` macro parameters in This macro is installed by default in `FlamingoThemesCode.WebHome`. This page is installed by default. The vulnerability has been patched in XWiki 13.10.11, 14.4.7 and 14.10.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Produtos afetados

xwiki · xwiki-platform

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/xwiki/xwiki-platform/commit/80d5be36f700adcd56b6c8eb3ed8b973f62ec0ae https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-f4v8-58f6-mwj4 https://jira.xwiki.org/browse/XWIKI-20279