CVE-2024-31984

Опубликовано: 10 апр. 2024

Источник: nvd

CVSS3: 9.9

CVSS3: 8.8

EPSS Средний

Описание

XWiki Platform is a generic wiki platform. Starting in version 7.2-rc-1 and prior to versions 4.10.20, 15.5.4, and 15.10-rc-1, by creating a document with a specially crafted title, it is possible to trigger remote code execution in the (Solr-based) search in XWiki. This allows any user who can edit the title of a space (all users by default) to execute any Groovy code in the XWiki installation which compromises the confidentiality, integrity and availability of the whole XWiki installation. This has been patched in XWiki 14.10.20, 15.5.4 and 15.10 RC1. As a workaround, manually apply the patch to the Main.SolrSpaceFacet page.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 7.3 (включая) до 14.10.20 (исключая)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 15.0 (включая) до 15.5.4 (исключая)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 15.6 (включая) до 15.10 (исключая)

cpe:2.3:a:xwiki:xwiki:7.2:-:*:*:*:*:*:*

cpe:2.3:a:xwiki:xwiki:7.2:rc1:*:*:*:*:*:*

EPSS

Процентиль: 98%

0.66038

Средний

9.9 Critical

CVSS3

8.8 High

CVSS3

Дефекты

CWE-95

CWE-94

Связанные уязвимости

GHSA-xm4h-3jxr-m3c6

CVSS3: 9.9

github

почти 2 года назад

XWiki Platform: Remote code execution through space title and Solr space facet

BDU:2024-05288

CVSS3: 9.9

fstec

больше 2 лет назад

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 98%

0.66038

Средний

9.9 Critical

CVSS3

8.8 High

CVSS3

Дефекты

CWE-95

CWE-94