Vulnerabilidad en XWiki Admin Tools Application (CVE-2023-48292)

XWiki Admin Tools Application proporciona herramientas para ayudar en la administración de XWiki. A partir de la versión 4.4 y antes de la versión 4.5.1, una vulnerabilidad de Cross-Site Request Forgery en la herramienta de administración para ejecutar comandos de shell en el servidor permite a un atacante ejecutar comandos de shell arbitrarios engañando a un administrador para que cargue la URL con el comando de shell. Una posibilidad muy simple de ataque son los comentarios. Cuando el atacante puede dejar un comentario en cualquier página de la wiki, basta con incluir una imagen con una URL como `/xwiki/bin/view/Admin/RunShellCommand?command=touch%20/tmp/attacked` en el comentario. Cuando un administrador vea el comentario, se creará el archivo `/tmp/attacked` en el servidor. La salida del comando también es vulnerable a la inyección de sintaxis de XWiki, lo que ofrece una manera sencilla de ejecutar Groovy en el contexto de la instalación de XWiki y, por lo tanto, una manera aún más fácil de comprometer la integridad y confidencialidad de toda la instalación de XWiki. Esto se solucionó agregando una verificación de token de formulario en la versión 4.5.1 de las herramientas de administración. Algunos workarounds están disponibles. El parche se puede aplicar manualmente a las páginas wiki afectadas. Alternativamente, el documento `Admin.RunShellCommand` también se puede eliminar si no se necesita la posibilidad de ejecutar comandos de shell.