Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05277

Опубликовано: 23 июн. 2023
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость компонента Mail.MailConfig платформы создания совместных веб-приложений XWiki Platform XWiki связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, изменять конфигурации отправки почты

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

15.0 (XWiki Platform)
от 14.10 до 14.10.6 (XWiki Platform)
11.8milestone1 (XWiki Platform)
от 11.8.1 до 14.4.8 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://jira.xwiki.org/browse/XWIKI-20519
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-g75c-cjr6-39mc
https://github.com/xwiki/xwiki-platform/commit/8910b8857d3442d2e8142f655fdc0512930354d1
https://github.com/xwiki/xwiki-platform/commit/d28d7739089e1ae8961257d9da7135d1a01cb7d4
https://jira.xwiki.org/browse/XWIKI-20671

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 67%
0.00551
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-34465

CVSS3: 9.9
nvd
больше 2 лет назад

XWiki Platform is a generic wiki platform. Starting in version 11.8-rc-1 and prior to versions 14.4.8, 14.10.6, and 15.2, `Mail.MailConfig` can be edited by any logged-in user by default. Consequently, they can change the mail obfuscation configuration and view and edit the mail sending configuration, including the smtp domain name and credentials. The problem has been patched in XWiki 14.4.8, 14.10.6, and 15.1. As a workaround, the rights of the `Mail.MailConfig` page can be manually updated so that only a set of trusted users can view, edit and delete it (e.g., the `XWiki.XWikiAdminGroup` group).

github логотип

GHSA-g75c-cjr6-39mc

CVSS3: 9.9
github
больше 2 лет назад

XWiki Platform's Mail.MailConfig can be edited by any user with edit rights

EPSS

Процентиль: 67%
0.00551
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2