Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05271

Опубликовано: 24 авг. 2023
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

15.0rc1 (XWiki Platform)
15.1rc1 (XWiki Platform)
15.0 (XWiki Platform)
15.1 (XWiki Platform)
15.2 (XWiki Platform)
15.3 (XWiki Platform)
до 14.10.9 (XWiki Platform)
15.2rc1 (XWiki Platform)
15.3rc1 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-8xhr-x3v8-rghj
https://jira.xwiki.org/browse/XWIKI-20852
https://github.com/xwiki/xwiki-platform/commit/fcdcfed3fe2e8a3cad66ae0610795a2d58ab9662

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03522
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-40573

CVSS3: 9
nvd
больше 2 лет назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki supports scheduled jobs that contain Groovy scripts. Currently, the job checks the content author of the job for programming right. However, modifying or adding a job script to a document doesn't modify the content author. Together with a CSRF vulnerability in the job scheduler, this can be exploited for remote code execution by an attacker with edit right on the wiki. If the attack is successful, an error log entry with "Job content executed" will be produced. This vulnerability has been patched in XWiki 14.10.9 and 15.4RC1.

github логотип

GHSA-8xhr-x3v8-rghj

CVSS3: 9
github
больше 2 лет назад

XWiki Platform's Groovy jobs check the wrong author, allowing remote code execution

EPSS

Процентиль: 87%
0.03522
Низкий

8.8 High

CVSS3

10 Critical

CVSS2