CVE-2023-46242

Опубликовано: 07 нояб. 2023

Источник: nvd

CVSS3: 9.6

CVSS3: 8.8

EPSS Низкий

Описание

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In affected versions it's possible to execute a content with the right of any user via a crafted URL. A user must have programming privileges in order to exploit this vulnerability. This issue has been patched in XWiki 14.10.7 and 15.2RC1. Users are advised to upgrade. There are no known workarounds for for this vulnerability.

Ссылки

https://github.com/xwiki/xwiki-platform/commit/cf8eb861998ea423c3645d2e5e974420b0e882be
Patch
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-hgpw-6p4h-j6h5
Patch
Vendor Advisory
https://jira.xwiki.org/browse/XWIKI-20386
Issue Tracking
Vendor Advisory
https://github.com/xwiki/xwiki-platform/commit/cf8eb861998ea423c3645d2e5e974420b0e882be
Patch
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-hgpw-6p4h-j6h5
Patch
Vendor Advisory
https://jira.xwiki.org/browse/XWIKI-20386
Issue Tracking
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 1.0 (включая) до 14.10.7 (исключая)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 15.0 (включая) до 15.2 (исключая)

EPSS

Процентиль: 87%

0.03252

Низкий

9.6 Critical

CVSS3

8.8 High

CVSS3

Дефекты

CWE-94

CWE-352

Связанные уязвимости

GHSA-hgpw-6p4h-j6h5

CVSS3: 9.6

github

больше 2 лет назад

XWiki Platform vulnerable to remote code execution via the edit action because it lacks CSRF token

BDU:2024-01273

CVSS3: 8.8

fstec

больше 2 лет назад

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с недостаточной проверкой подлинности выполняемых запросов, позволяющая нарушителю получить права текущего пользователя

EPSS

Процентиль: 87%

0.03252

Низкий

9.6 Critical

CVSS3

8.8 High

CVSS3

Дефекты

CWE-94

CWE-352