Vulnerabilidad en XWiki Platform (CVE-2023-45137)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/10/2023
Última modificación:
07/11/2023
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. `org.xwiki.platform:xwiki-platform-web` a partir de la versión 3.1-milestone-2 y anteriores a la versión 13.4-rc-1, así como `org.xwiki.platform:xwiki-platform-web-templates` anteriores a las versiones 14.10.12 y 15.5-rc-1, son vulnerables a Cross-Site Scripting (XSS). Al intentar crear un documento que ya existe, XWiki muestra un mensaje de error en el formulario para crearlo. Debido a la falta de escape, este mensaje de error es vulnerable a la inyección de HTML sin formato y, por lo tanto, de XSS. El código inyectado es la referencia del documento existente, por lo que esto requiere que el atacante primero cree un documento no vacío cuyo nombre contenga el código de ataque. Esto se ha parcheado en `org.xwiki.platform:xwiki-platform-web` versión 13.4-rc-1 y `org.xwiki.platform:xwiki-platform-web-templates` versiones 14.10.12 y 15.5-rc-1. agregando el escape apropiado. El archivo de plantilla vulnerable `createinline.vm` es parte de WAR de XWiki y se puede parchear aplicando manualmente los cambios de la solución.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 3.1.1 (incluyendo) | 13.4 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.10.12 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.5 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:3.1:milestone2:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:3.1:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página