PT-2022-19499 · Xwiki · Xwiki Platform Flamingo Theme Ui
Thomas Mortagne
·
Publicado
2022-05-25
·
Atualizado
2022-06-07
·
CVE-2022-29251
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões da interface do usuário do tema Flamingo da plataforma XWiki anteriores à 12.10.11
Versões da interface do usuário do tema Flamingo da plataforma XWiki anteriores à 13.4.7
Versões da interface do usuário do tema Flamingo da plataforma XWiki anteriores à 13.10.3
Versão 14.0-rc-1 e anteriores da interface do usuário do tema Flamingo da plataforma XWiki
Descrição
Um possível vetor de cross-site scripting está presente na página wiki
FlamingoThemesCode.WebHomeSheet relacionada ao campo de formulário newThemeName. Essa vulnerabilidade pode ser explorada, permitindo possíveis atividades maliciosas.Recomendações
Para versões anteriores à 12.10.11, atualize para a versão 12.10.11 ou posterior.
Para versões anteriores à 13.4.7, atualize para a versão 13.4.7 ou posterior.
Para versões anteriores à 13.10.3, atualize para a versão 13.10.3 ou posterior.
Para a versão 14.0-rc-1 e anteriores, atualize para uma versão posterior à 14.0-rc-1.
Como solução temporária, edite a página wiki
FlamingoThemesCode. WebHomeSheet e altere a linha <input type="hidden" name="newThemeName" id="newThemeName" value="$request.newThemeName" /> para <input type="hidden" name="newThemeName" id="newThemeName" value="$escapetool.xml($request.newThemeName)" />.Exploit
Correção
Improper Encoding or Escaping of Output
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform Flamingo Theme Ui