Vulnerabilidad en App Within Minutes en XWiki Platform (CVE-2021-29459)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/04/2021
Última modificación:
29/04/2021
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones creadas sobre ella. Es posible inyectar scripts de forma persistente en XWiki versiones anteriores a 12.6.3 y 12.8. Unos usuarios no registrados pueden completar campos de texto simple. Los usuarios registrados pueden completar su información personal y (si presentan derechos de edición) completar los valores de las listas estáticas usando App Within Minutes. No se presenta una solución sencilla excepto actualizar XWiki. La vulnerabilidad ha sido parcheada en XWiki versiones 12.8 y 12.6.3
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 12.6.3 (excluyendo) | |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 12.6.4 (incluyendo) | 12.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página