Vulnerabilidad en XWiki Platform Wiki UI Main Wiki (CVE-2022-36099)

XWiki Platform Wiki UI Main Wiki es un software para administrar subwikis en XWiki Platform, una plataforma wiki genérica. A partir de la versión 5.3-milestone-2 y anteriores a 13.10.6 y 14.4, es posible inyectar sintaxis wiki arbitraria, incluidas macros de secuencias de comandos de Groovy, Python y Velocity por medio de la petición (parámetro de URL) utilizando "XWikiServerClassSheet" si el usuario presenta acceso de visualización a esta hoja y otra página que ha sido guardada con derechos de programación, una condición estándar en una instalación de XWiki pública de solo lectura o una instalación de XWiki privada donde el usuario presenta una cuenta. Esto permite una ejecución arbitraria de código Groovy/Python/Velocity, lo que permite omitir todas las verificaciones de derechos y, por lo tanto, modificar y divulgar todo el contenido almacenado en la instalación de XWiki. Además, esto podría usarse para afectar la disponibilidad de la wiki. Esto ha sido parcheado en las versiones 13.10.6 y 14.4. Como mitigación, edite el documento afectado "XWiki.XWikiServerClassSheet" o "WikiManager.XWikiServerClassSheet" y realice manualmente los cambios del parche que corrigen el problema. En XWiki versiones 12.0 y posteriores, también es posible importar el documento "XWiki.XWikiServerClassSheet" desde el paquete xwiki-platform-wiki-ui-mainwiki versión 14.4 usando la función de importación de la aplicación de administración ya que no ha habido otros cambios en este documento desde XWiki versión 12.0