Описание
XWiki Commons are technical libraries common to several other top level XWiki projects. Any user with view rights WikiManager.DeleteWiki can execute arbitrary Groovy, Python or Velocity code in XWiki leading to full access to the XWiki installation. The root cause is improper escaping of the wikiId url parameter. The problem has been patched on XWiki 13.10.11, 14.4.7, and 14.10.
Ссылки
- Patch
- ExploitPatchVendor Advisory
- ExploitIssue Tracking
- Patch
- ExploitPatchVendor Advisory
- ExploitIssue Tracking
Уязвимые конфигурации
Конфигурация 1Версия до 13.10.11 (исключая)Версия от 14.4.0 (включая) до 14.4.7 (исключая)
Одно из
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:14.10:rc1:*:*:*:*:*:*
EPSS
Процентиль: 92%
0.08238
Низкий
9.9 Critical
CVSS3
8.8 High
CVSS3
Дефекты
CWE-95
CWE-94
Связанные уязвимости
CVSS3: 9.9
github
почти 3 года назад
org.xwiki.platform:xwiki-platform-wiki-ui-mainwiki Eval Injection vulnerability
EPSS
Процентиль: 92%
0.08238
Низкий
9.9 Critical
CVSS3
8.8 High
CVSS3
Дефекты
CWE-95
CWE-94