Vulnerabilidad en la interfaz de usuario del filtro de la plataforma Xwiki (CVE-2022-29258)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
31/05/2022
Última modificación:
09/06/2022
Descripción
La interfaz de usuario del filtro de la plataforma XWiki proporciona una interfaz de usuario genérica para convertir de un flujo de entrada del filtro XWiki a un flujo de salida con ajustes para cada flujo. A partir de las versiones 6.0-milestone-2 y 5.4.4 y en versiones anteriores a 12.10.11, 14.0-rc-1, 13.4.7 y 13.10.3, la interfaz de usuario de XWiki Platform Filter contiene un posible vector de tipo cross-site scripting en la página wiki "Filter.FilterStreamDescriptorForm" relacionado con casi todos los campos de formulario impresos en la página de inicio de la aplicación. El problema está parcheado en versiones 12.10.11, 14.0-rc-1, 13.4.7 y 13.10.3. La mitigación más sencilla es editar la página wiki "Filter.FilterStreamDescriptorForm" (con el editor wiki) según las instrucciones del aviso de seguridad de GitHub
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 5.4.4 (incluyendo) | 12.10.11 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.0 (incluyendo) | 13.4.7 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.5 (incluyendo) | 13.10.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página