Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01268

Опубликовано: 25 окт. 2023
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, редактировать произвольный документ

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 14.0 до 14.4.8 (XWiki Platform)
от 14.5 до 14.10.4 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/commit/d7720219d60d7201c696c3196c9d4a86d0881325
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rwwx-6572-mp29
https://jira.xwiki.org/browse/XWIKI-20334

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 68%
0.00574
Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-37910

CVSS3: 8.1
nvd
больше 2 лет назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting with the introduction of attachment move support in version 14.0-rc-1 and prior to versions 14.4.8, 14.10.4, and 15.0-rc-1, an attacker with edit access on any document (can be the user profile which is editable by default) can move any attachment of any other document to this attacker-controlled document. This allows the attacker to access and possibly publish any attachment of which the name is known, regardless if the attacker has view or edit rights on the source document of this attachment. Further, the attachment is deleted from the source document. This vulnerability has been patched in XWiki 14.4.8, 14.10.4, and 15.0 RC1. There is no workaround apart from upgrading to a fixed version.

github логотип

GHSA-rwwx-6572-mp29

CVSS3: 8.1
github
больше 2 лет назад

org.xwiki.platform:xwiki-platform-attachment-api vulnerable to Missing Authorization on Attachment Move

EPSS

Процентиль: 68%
0.00574
Низкий

8.1 High

CVSS3

8.5 High

CVSS2