Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03685

Опубликовано: 03 нояб. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана c ошибками при использовании привилегированных прикладных программных интерфейсов (API). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение и удаление учётных записей пользователей

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

до 15.5.5 (XWiki Platform)
от 13.2-rc-1 до 14.10.21 (XWiki Platform)
до 15.10.1 (XWiki Platform)
до 16.0-rc-1 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/commit/e8acc9d8e6af7dfbfe70716ded431642ae4a6dd4
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-r95w-889q-x2gx

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00875
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-46978

CVSS3: 6.5
nvd
больше 1 года назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. It's possible for any user knowing the ID of a notification filter preference of another user, to enable/disable it or even delete it. The impact is that the target user might start loosing notifications on some pages because of this. This vulnerability is present in XWiki since 13.2-rc-1. This vulnerability has been patched in XWiki 14.10.21, 15.5.5, 15.10.1, 16.0-rc-1. The patch consists in checking properly the rights of the user before performing any action on the filters. Users are advised to upgrade. It's possible to fix manually the vulnerability by editing the document `XWiki.Notifications.Code.NotificationPreferenceService` to apply the changes performed in commit e8acc9d8e6af7dfbfe70716ded431642ae4a6dd4.

github логотип

GHSA-r95w-889q-x2gx

CVSS3: 6.5
github
больше 1 года назад

org.xwiki.platform:xwiki-platform-notifications-ui is missing checks for notification filter preferences editions

EPSS

Процентиль: 75%
0.00875
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2