Vulnerabilidad en XWiki Platform (CVE-2023-46732)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
06/11/2023
Última modificación:
14/11/2023
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. XWiki es vulnerable a Reflected Cross-Site Scripting (RXSS) a través del parámetro "rev" que se utiliza en el contenido del menú de contenido sin escapar. Si un atacante puede convencer a un usuario para que visite un enlace con un parámetro manipulado, esto le permitirá ejecutar acciones arbitrarias en nombre del usuario, incluida la ejecución remota de código (Groovy) en el caso de un usuario con derechos de programación, comprometiendo la confidencialidad, integridad y disponibilidad de toda la instalación de XWiki. Esto ha sido parcheado en XWiki 15.6 RC1, 15.5.1 y 14.10.14. El parche en el commit `04e325d57` se puede aplicar manualmente sin actualizar (o reiniciar) la instancia. Se recomienda a los usuarios que actualicen o apliquen manualmente el parche. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 9.7 (incluyendo) | 14.10.14 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.5.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página