Vulnerabilidad en XWiki Platform (CVE-2023-41046)

Xwiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones construidas sobre ella. Es posible en XWiki ejecutar código Velocity sin tener derecho a script creando una "Xclass" con una propiedad de tipo "TextArea" y tipo de contenido "VelocityCode" o "VelocityWiki". Para el primero, la sintaxis del documento necesita ser configurada como "xwiki/1.0" (esta sintaxis no necesita ser instalada). En ambos casos, cuando se agrega la propiedad a un objeto, el código de Velocity se ejecuta sin importar los derechos del autor de la propiedad (aunque el derecho de edición sigue siendo necesario). En ambos casos, el código se ejecuta con el autor de contexto correcto por lo que no se puede acceder a APIs privilegiadas. Sin embargo, Velocity aún permite el acceso a datos y APIs que de otra manera srían inaccesibles y que podrían permitir una escalada de privilegios mayor. Al menos para "VelocitiyCode", este comportamiento es probablemente muy antiguo pero solo desde XWiki v7.2, el derecho de script es un derecho separado, antes de esa versión todos los usuarios podían ejecutar Velocity y por lo tanto esto era esperado y no un problema de seguridad. Esto ha sido parcheado en XWiki v14.10.10 y v15.4 RC1. Se recomienda a los usuarios actualizar. No hay soluciones conocidas.