XWiki Platform - это универсальная вики-платформа, предлагающая сервисы времени выполнения для приложений, построенных на ее основе. Неправильное экранирование в документе SkinsCode.XWikiSkinsSheet приводит к вектору внедрения от права просмотра этого документа к правам программирования, или, другими словами, можно выполнять произвольные скриптовые макросы, включая макросы Groovy и Python, которые позволяют удаленно выполнять код, включая неограниченный доступ для чтения и записи ко всему содержимому вики. Атака работает путем открытия несуществующей страницы с именем, содержащим опасную полезную нагрузку. Можно проверить, является ли существующая установка уязвимой. Инструкции по тестированию установки см. в связанном GHSA. Эта проблема была исправлена в XWiki 14.4.8, 14.10.4 и 15.0-rc-1. Пользователям рекомендуется обновиться. Фикс d9c88ddc также можно применить вручную к затронутому документу SkinsCode.XWikiSkinsSheet, и пользователям, не имеющим возможности обновиться, рекомендуется вручную исправить свои установки.