Vulnerabilidad en XWiki Admin Tools Application (CVE-2023-48293)

XWiki Admin Tools Application proporciona herramientas para ayudar en la administración de XWiki. Antes de la versión 4.5.1, una vulnerabilidad de Cross-Site Request Forgery en la herramienta de consulta en XWiki permitía ejecutar consultas arbitrarias en la base de datos de la instalación de XWiki. Entre otras cosas, esto permite modificar y eliminar todos los datos de la wiki. Esto podría usarse tanto para dañar el wiki como para crear una cuenta con privilegios elevados para el atacante, impactando así la confidencialidad, integridad y disponibilidad de toda la instancia de XWiki. Un posible vector de ataque son los comentarios en la wiki, al incrustar una imagen con sintaxis de wiki como `[[image:path:/xwiki/bin/view/Admin/QueryOnXWiki?query=DELETE%20FROM%20xwikidoc]]`, todos los documentos se eliminará de la base de datos cuando un usuario administrador vea este comentario. Esto se ha solucionado en la aplicación Admin Tools 4.5.1 añadiendo comprobaciones de tokens de formulario. Algunos workarounds están disponibles. El parche también se puede aplicar manualmente a las páginas afectadas. Alternativamente, si la herramienta de consulta no es necesaria, al eliminar el documento `Admin.SQLToolsGroovy`, se pueden desactivar todas las herramientas de consulta de la base de datos.