Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08879

Опубликовано: 26 окт. 2023
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Критический

Описание

Уязвимость функции DatabaseSearch платформы создания совместных веб-приложений XWiki Platform XWiki связана с непринятием мер по нейтрализации инструкций в динамически исполняемом коде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 15.0-rc-1 до 15.5.4 (XWiki Platform)
от 15.6-rc-1 до 15.10-rc-1 (XWiki Platform)
от 2.4-milestone-1 до 14.10.20 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://jira.xwiki.org/browse/XWIKI-21472

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94247
Критический

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-31982

CVSS3: 10
nvd
больше 1 года назад

XWiki Platform is a generic wiki platform. Starting in version 2.4-milestone-1 and prior to versions 4.10.20, 15.5.4, and 15.10-rc-1, XWiki's database search allows remote code execution through the search text. This allows remote code execution for any visitor of a public wiki or user of a closed wiki as the database search is by default accessible for all users. This impacts the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.20, 15.5.4 and 15.10RC1. As a workaround, one may manually apply the patch to the page `Main.DatabaseSearch`. Alternatively, unless database search is explicitly used by users, this page can be deleted as this is not the default search interface of XWiki.

github логотип

GHSA-2858-8cfx-69m9

CVSS3: 10
github
больше 1 года назад

XWiki Platform: Remote code execution as guest via DatabaseSearch

EPSS

Процентиль: 100%
0.94247
Критический

10 Critical

CVSS3

10 Critical

CVSS2