CVE-2026-33229
KrytyczneStreszczenie
Platforma XWiki to ogólna platforma wiki oferująca usługi uruchomieniowe dla aplikacji zbudowanych na jej podstawie. Przed wersjami 17.4.8 i 17.10.1, niewłaściwie zabezpieczone API skryptowe pozwalało każdemu użytkownikowi z prawami skryptowymi na ominięcie piaskownicy API skryptowego Velocity i wykonanie dowolnych skryptów Pythona, co umożliwiało pełny dostęp do instancji XWiki.
Ocena ryzyka
Ta podatność zagraża poufności, integralności i dostępności całej instancji XWiki, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Użytkownicy z prawami skryptowymi, którzy nie są zaufani, mogą wykorzystać tę lukę do przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację do wersji 17.4.8 lub 17.10.1, aby usunąć tę podatność. Należy również ograniczyć przyznawanie praw skryptowych tylko zaufanym użytkownikom.
Oryginalny opis (angielski, źródło NVD)
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Prior to 17.4.8 and 17.10.1, an improperly protected scripting API allows any user with script right to bypass the sandboxing of the Velocity scripting API and execute, e.g., arbitrary Python scripts, allowing full access to the XWiki instance and thereby compromising the confidentiality, integrity and availability of the whole instance. Note that script right already constitutes a high level of access that we don't recommend giving to untrusted users. This vulnerability is fixed in 17.4.8 and 17.10.1.

