Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-04025

Опубликовано: 21 сент. 2023
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Средний

Описание

Уязвимость компонента PDFClass Handler платформы создания совместных веб-приложений XWiki Platform XWiki связана с отсутствием процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 15.0-rc-1 до 15.5.4 (XWiki Platform)
от 3.0.1 до 14.10.19 (XWiki Platform)
от 15.6-rc-1 до 15.9 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/commit/480186f9d2fca880513da8bc5a609674d106cbd3
https://github.com/xwiki/xwiki-platform/commit/a4ad14d9c1605a5ab957237e505ebbb29f5b9d73
https://github.com/xwiki/xwiki-platform/commit/d28e21a670c69880b951e415dd2ddd69d273eae9
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-vxwr-wpjv-qjq7
https://jira.xwiki.org/browse/XWIKI-21337

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.33683
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-31981

CVSS3: 9.9
nvd
почти 2 года назад

XWiki Platform is a generic wiki platform. Starting in version 3.0.1 and prior to versions 4.10.20, 15.5.4, and 15.10-rc-1, remote code execution is possible via PDF export templates. This vulnerability has been patched in XWiki 14.10.20, 15.5.4 and 15.10-rc-1. If PDF templates are not typically used on the instance, an administrator can create the document `XWiki.PDFClass` and block its edition, after making sure that it does not contain a `style` attribute. Otherwise, there are no known workarounds aside from upgrading.

github логотип

GHSA-vxwr-wpjv-qjq7

CVSS3: 9.9
github
почти 2 года назад

XWiki Platform: Privilege escalation (PR) from user registration through PDFClass

EPSS

Процентиль: 97%
0.33683
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2