Описание
XWiki Platform is a generic wiki platform. Starting in version 1.3-rc-1, any user with edit right can execute arbitrary database select and access data stored in the database. The problem has been patched in XWiki 13.10.11, 14.4.7, and 14.10. There is no workaround for this vulnerability other than upgrading.
Ссылки
- ExploitVendor Advisory
- ExploitIssue TrackingPatchVendor Advisory
- ExploitVendor Advisory
- ExploitIssue TrackingPatchVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 1.3 (включая) до 13.10.11 (исключая)Версия от 14.0 (включая) до 14.4.7 (исключая)Версия от 14.5 (включая) до 14.10 (исключая)
Одно из
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:1.3:rc1:*:*:*:*:*:*
EPSS
Процентиль: 40%
0.00182
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-284
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 6.5
github
почти 3 года назад
Unprivileged XWiki Platform users can make arbitrary select queries using DatabaseListProperty and suggest.vm
EPSS
Процентиль: 40%
0.00182
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-284
NVD-CWE-noinfo