Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la página wiki "FlamingoThemesCode.WebHomeSheet" en XWiki Platform Flamingo Theme UI (CVE-2022-29251)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/05/2022
Última modificación:
07/06/2022

Descripción

XWiki Platform Flamingo Theme UI es una herramienta que permite personalizar y previsualizar cualquier skin basado en Flamingo. A partir de las versiones 6.2.4 y 6.3-rc-1, se presenta un posible vector de cross-site scripting en la página wiki "FlamingoThemesCode.WebHomeSheet" relacionado con el campo de formulario "newThemeName". El problema está parcheado en versiones 12.10.11, 14.0-rc-1, 13.4.7 y 13.10.3. La mitigación más fácil disponible es editar la página wiki "FlamingoThemesCode.WebHomeSheet" (con el editor wiki) de acuerdo con la sugerencia proporcionada en el aviso de seguridad de GitHub

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 6.2.4 (incluyendo) 12.10.11 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 13.0 (incluyendo) 13.4.7 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 13.5 (incluyendo) 13.10.3 (excluyendo)