Vulnerabilidad en la página wiki "FlamingoThemesCode.WebHomeSheet" en XWiki Platform Flamingo Theme UI (CVE-2022-29251)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/05/2022
Última modificación:
07/06/2022
Descripción
XWiki Platform Flamingo Theme UI es una herramienta que permite personalizar y previsualizar cualquier skin basado en Flamingo. A partir de las versiones 6.2.4 y 6.3-rc-1, se presenta un posible vector de cross-site scripting en la página wiki "FlamingoThemesCode.WebHomeSheet" relacionado con el campo de formulario "newThemeName". El problema está parcheado en versiones 12.10.11, 14.0-rc-1, 13.4.7 y 13.10.3. La mitigación más fácil disponible es editar la página wiki "FlamingoThemesCode.WebHomeSheet" (con el editor wiki) de acuerdo con la sugerencia proporcionada en el aviso de seguridad de GitHub
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 6.2.4 (incluyendo) | 12.10.11 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.0 (incluyendo) | 13.4.7 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.5 (incluyendo) | 13.10.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página