Описание
Уязвимость реализации протокола Simple Key-Management for Internet Protocol (SKIP) средства просмотра PDF-документов внутри страниц XWiki PDF Viewer Macro (Pro) связана с некорректной генерацией ключей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Вендор
XWiki SAS
Наименование ПО
PDF Viewer Macro (Pro)
Версия ПО
от 1.6.2 до 2.5.5 включительно (PDF Viewer Macro (Pro))
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/xwikisas/macro-pdfviewer/releases/tag/macro-pdfviewer-2.5.6
https://github.com/xwikisas/macro-pdfviewer/commit/8b5e3f4e44d9d0fe2447358fe4d1b706b7101633
https://store.xwiki.com/xwiki/bin/view/Extension/PDFViewerMacro
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 37%
0.00162
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
около 1 года назад
macro-pdfviewer is a PDF Viewer Macro for XWiki using Mozilla pdf.js. Any user with view right on XWiki.PDFViewerService can access any attachment stored in the wiki as the "key" that is passed to prevent this is computed incorrectly, calling skip on the digest stream doesn't update the digest. This is fixed in 2.5.6.
EPSS
Процентиль: 37%
0.00162
Низкий
7.5 High
CVSS3
7.8 High
CVSS2