Vulnerabilidad en XWiki Platform Applications Tag y XWiki Platform Tag UI (CVE-2022-36100)

XWiki Platform Applications Tag y XWiki Platform Tag UI son aplicaciones de etiquetas para XWiki, una plataforma wiki genérica. A partir de la versión 1.7 en XWiki Platform Applications Tag y anteriores a 13.10.6 y 14.4 en XWiki Platform Tag UI, el documento de etiquetas "Main.Tags" en XWiki no saneaba apropiadamente las entradas del usuario. Esto permitió a usuarios con derechos de visualización en el documento (predeterminado en un wiki público o para usuarios autenticados en wikis privados) ejecutar código Groovy, Python y Velocity arbitrario con derechos de programación. Esto también permitió omitir todas las verificaciones de derechos y, por lo tanto, la modificación y divulgación de todo el contenido almacenado en la instalación de XWiki. La vulnerabilidad podría usarse para afectar la disponibilidad de la wiki. En XWiki versiones anteriores a 13.10.4 y la 14.2, esto puede combinarse con CVE-2022-36092, lo que significa que no son requeridos derechos para realizar el ataque. La vulnerabilidad ha sido parcheada en versiones 13.10.6 y 14.4. Como mitigación, el parche que corrige el problema puede aplicarse manualmente al documento "Main.Tags" o la versión actualizada de ese documento puede importarse desde la versión 14.4 de xwiki-platform-tag-ui usando la funcionalidad import en la Interfaz de Usuario de administración en XWiki versión 10.9 y posterior