One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8400570 |
| Date de publication | 2023-10-25 20:15:12 (vue: 2023-10-25 23:08:42) |
| Titre | CVE-2023-45136 |
| Texte | La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.Lorsque les noms de documents sont validés en fonction d'une stratégie de nom (désactivé par défaut), Xwiki commençant dans la version 12.0-RC-1 et avant les versions 12.10.12 et 15.5-RC-1 est vulnérable à une attaque de script transversale réfléchie dans leFormulaire de création de pages.Cela permet à un attaquant d'exécuter des actions arbitraires avec les droits de l'utilisateur ouvrant le lien malveillant.Selon les droits de l'utilisateur, cela peut permettre l'exécution du code distant et l'accès complet à la lecture et à l'écriture à toute l'installation de Xwiki.Cela a été corrigé dans Xwiki 14.10.12 et 15.5-RC-1 en ajoutant une échappement approprié.Le fichier de modèle vulnérable `CreateInline.vm` fait partie de la guerre de Xwiki \\ et peut être corrigé en appliquant manuellement les modifications du correctif.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. When document names are validated according to a name strategy (disabled by default), XWiki starting in version 12.0-rc-1 and prior to versions 12.10.12 and 15.5-rc-1 is vulnerable to a reflected cross-site scripting attack in the page creation form. This allows an attacker to execute arbitrary actions with the rights of the user opening the malicious link. Depending on the rights of the user, this may allow remote code execution and full read and write access to the whole XWiki installation. This has been patched in XWiki 14.10.12 and 15.5-rc-1 by adding appropriate escaping. The vulnerable template file `createinline.vm` is part of XWiki\'s WAR and can be patched by manually applying the changes from the fix. |
| Envoyé | Oui |
| Condensat | 2023 45136 `createinline access according actions adding allow allows applications applying appropriate arbitrary are attack attacker been built can changes code creation cross cve default depending disabled document escaping execute execution file fix form from full generic has installation link malicious manually may name names offering opening page part patched platform prior read reflected remote rights runtime scripting services site starting strategy template top user validated version versions vm` vulnerable war when whole wiki write xwiki |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.