Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01270

Опубликовано: 06 нояб. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью параметра section URL

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 15.0 до 15.5.1 (XWiki Platform)
до 14.10.14 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/commit/fec8e0e53f9fa2c3f1e568cc15b0e972727c803a
https://github.com/xwiki/xwiki-platform/commit/fec8e0e53f9fa2c3f1e568cc15b0e972727c803a#diff-6271f9be501f30b2ba55459eb451aee3413d34171ba8198a77c865306d174e23
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-62pr-qqf7-hh89
https://jira.xwiki.org/browse/XWIKI-21110

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.57465
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-46731

CVSS3: 10
nvd
больше 2 лет назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki doesn't properly escape the section URL parameter that is used in the code for displaying administration sections. This allows any user with read access to the document `XWiki.AdminSheet` (by default, everyone including unauthenticated users) to execute code including Groovy code. This impacts the confidentiality, integrity and availability of the whole XWiki instance. This vulnerability has been patched in XWiki 14.10.14, 15.6 RC1 and 15.5.1. Users are advised to upgrade. Users unablr to upgrade may apply the fix in commit `fec8e0e53f9` manually. Alternatively, to protect against attacks from unauthenticated users, view right for guests can be removed from this document (it is only needed for space and wiki admins).

github логотип

GHSA-62pr-qqf7-hh89

CVSS3: 10
github
около 2 лет назад

XWiki Platform vulnerable to remote code execution through the section parameter in Administration as guest

EPSS

Процентиль: 98%
0.57465
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2