← volver
CVE-2023-26477

org.xwiki.platform:xwiki-platform-flamingo-theme-ui Eval Injection vulnerability

CVSS 10 CRITICALEPSS 74.8%CWE-95
En resumen

Una vulnerabilidad en XWiki permite que atacantes inyecten y ejecuten código arbitrario (scripts Groovy, Python, Velocity) a través de un parámetro de URL llamado 'newThemeName' al cambiar temas. Esto puede comprometer completamente el wiki y cualquier sistema donde se ejecute.

Detalle técnico

Inyección de código CWE-95 via el parámetro 'newThemeName' en la URL permite ejecución remota de código sin autenticación mediante inyección de macros de sintaxis wiki (Groovy, Python, Velocity). La explotación requiere solo la manipulación de parámetros de URL; no hay prerequisitos de autenticación. El impacto es crítico ya que permite ejecución arbitraria de código y compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
XWiki Platform is a generic wiki platform. Starting in versions 6.3-rc-1 and 6.2.4, it's possible to inject arbitrary wiki syntax including Groovy, Python and Velocity script macros via the `newThemeName` request parameter (URL parameter), in combination with additional parameters. This has been patched in the supported versions 13.10.10, 14.9-rc-1, and 14.4.6. As a workaround, it is possible to edit `FlamingoThemesCode.WebHomeSheet` and manually perform the changes from the patch fixing the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
xwiki · xwiki-platform

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/xwiki/xwiki-platform/commit/ea2e615f50a918802fd60b09ec87aa04bc6ea8e2#diff-e2153fa59f9d92ef67b0afbf27984bd17170921a3b558fac227160003d0dfd2aR283-R284https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-x2qm-r4wx-8gpghttps://jira.xwiki.org/browse/XWIKI-19757