Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01245

Опубликовано: 19 апр. 2023
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к произвольной страницы

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 14.0 до 14.4.8 (XWiki Platform)
от 14.5 до 14.10.3 (XWiki Platform)
от 10.11.1 до 13.10.11 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-gpq5-7p34-vqx5
https://jira.xwiki.org/browse/XRENDERING-694
https://jira.xwiki.org/browse/XWIKI-20394

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02598
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-29526

CVSS3: 9.9
nvd
почти 3 года назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In affected versions it's possible to display or interact with any page a user cannot access through the combination of the async and display macros. A comment with either macro will be executed when viewed providing a code injection vector in the context of the running server. This vulnerability has been patched in XWiki 15.0-rc-1, 14.10.3, 14.4.8, and 13.10.11. Users are advised to upgrade. There are no known workarounds for this issue.

github логотип

GHSA-gpq5-7p34-vqx5

CVSS3: 9.9
github
почти 3 года назад

XWiki Platform's async and display macro allow displaying and interacting with any document in restricted mode

EPSS

Процентиль: 85%
0.02598
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2