CVE-2023-45137

XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. `org.xwiki.platform:xwiki-platform-web` a partir de la versión 3.1-milestone-2 y anteriores a la versión 13.4-rc-1, así como `org.xwiki.platform:xwiki-platform-web-templates` anteriores a las versiones 14.10.12 y 15.5-rc-1, son vulnerables a Cross-Site Scripting (XSS). Al intentar crear un documento que ya existe, XWiki muestra un mensaje de error en el formulario para crearlo. Debido a la falta de escape, este mensaje de error es vulnerable a la inyección de HTML sin formato y, por lo tanto, de XSS. El código inyectado es la referencia del documento existente, por lo que esto requiere que el atacante primero cree un documento no vacío cuyo nombre contenga el código de ataque. Esto se ha parcheado en `org.xwiki.platform:xwiki-platform-web` versión 13.4-rc-1 y `org.xwiki.platform:xwiki-platform-web-templates` versiones 14.10.12 y 15.5-rc-1. agregando el escape apropiado. El archivo de plantilla vulnerable `createinline.vm` es parte de WAR de XWiki y se puede parchear aplicando manualmente los cambios de la solución.