BDU:2023-05276

Опубликовано: 23 июн. 2023

Источник: fstec

CVSS3: 8

CVSS2: 10

EPSS Средний

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с непринятием мер по нейтрализации инструкций в динамически исполняемом коде. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, выполнить произвольный код с root-привилегиями

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 14.10 до 14.10.4 (XWiki Platform)

2.4milestone2 (XWiki Platform)

от 2.5 до 14.4.8 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/xwiki/xwiki-platform/commit/b65220a4d86b8888791c3b643074ebca5c089a3a

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-6mf5-36v9-3h2w

https://jira.xwiki.org/browse/XWIKI-20285

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-35150
CVE

EPSS

Процентиль: 97%

0.3348

Средний

8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-35150

CVSS3: 9.9

nvd

больше 2 лет назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting in version 2.40m-2 and prior to versions 14.4.8, 14.10.4, and 15.0, any user with view rights on any document can execute code with programming rights, leading to remote code execution by crafting an url with a dangerous payload. The problem has been patched in XWiki 15.0, 14.10.4 and 14.4.8.

GHSA-6mf5-36v9-3h2w