exploitDog

GHSA-6gf5-c898-7rxp

Опубликовано: 11 мая 2023

Источник: github

Github: Прошло ревью

CVSS3: 9

Описание

Improper Neutralization of Script in Attributes in XWiki (X)HTML renderers

Impact

HTML rendering didn't check for dangerous attributes/attribute values. This allowed cross-site scripting (XSS) attacks via attributes and link URLs, e.g., supported in XWiki syntax.

Patches

This has been patched in XWiki 14.6 RC1.

Workarounds

There are no known workarounds apart from upgrading to a fixed version.

References

For more information

If you have any questions or comments about this advisory:

Open an issue in Jira XWiki.org
Email us at Security Mailing List

Ссылки

Пакеты

Наименование

org.xwiki.rendering:xwiki-rendering-syntax-xhtml

maven

Затронутые версииВерсия исправления

< 14.6-rc-1

14.6-rc-1

Наименование

org.xwiki.platform:xwiki-core-rendering-api

maven

Затронутые версииВерсия исправления

<= 3.0-milestone-2

Отсутствует

Наименование

org.xwiki.rendering:xwiki-rendering-syntax-html

maven

Затронутые версииВерсия исправления

< 14.6-rc-1

14.6-rc-1

Наименование

org.xwiki.rendering:xwiki-rendering-syntax-html5

maven

Затронутые версииВерсия исправления

< 14.6-rc-1

14.6-rc-1

Наименование

org.xwiki.rendering:xwiki-rendering-syntax-annotatedxhtml

maven

Затронутые версииВерсия исправления

< 14.6-rc-1

14.6-rc-1

Наименование

org.xwiki.rendering:xwiki-rendering-syntax-annotatedhtml5

maven

Затронутые версииВерсия исправления

< 14.6-rc-1

14.6-rc-1

Наименование

org.xwiki.platform:xwiki-platform-annotation-core

maven

Затронутые версииВерсия исправления

< 14.6-rc-1

14.6-rc-1

EPSS

Процентиль: 90%

0.05393

Низкий

9 Critical

CVSS3

CVE ID

Дефекты

CWE-79

CWE-83

Связанные уязвимости

CVE-2023-32070

CVSS3: 9

nvd

больше 2 лет назад

XWiki Platform is a generic wiki platform. Prior to version 14.6-rc-1, HTML rendering didn't check for dangerous attributes/attribute values. This allowed cross-site scripting (XSS) attacks via attributes and link URLs, e.g., supported in XWiki syntax. This has been patched in XWiki 14.6-rc-1. There are no known workarounds apart from upgrading to a fixed version.

EPSS

Процентиль: 90%

0.05393

Низкий

9 Critical

CVSS3

CVE ID

Дефекты

CWE-79

CWE-83