CVE-2024-31986

Опубликовано: 10 апр. 2024

Источник: nvd

CVSS3: 9

CVSS3: 8.8

EPSS Средний

Описание

XWiki Platform is a generic wiki platform. Starting in version 3.1 and prior to versions 4.10.19, 15.5.4, and 15.10-rc-1, by creating a document with a special crafted documented reference and an XWiki.SchedulerJobClass XObject, it is possible to execute arbitrary code on the server whenever an admin visits the scheduler page or the scheduler page is referenced, e.g., via an image in a comment on a page in the wiki. The vulnerability has been fixed in XWiki 14.10.19, 15.5.5, and 15.9. As a workaround, apply the patch manually by modifying the Scheduler.WebHome page.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 3.1.1 (включая) до 14.10.19 (исключая)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 15.0 (включая) до 15.5.4 (исключая)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 15.6 (включая) до 15.9 (исключая)

EPSS

Процентиль: 93%

0.1081

Средний

9 Critical

CVSS3

8.8 High

CVSS3

Дефекты

CWE-95

CWE-352

Связанные уязвимости

GHSA-37m4-hqxv-w26g

CVSS3: 9

github

почти 2 года назад

XWiki Platform CSRF remote code execution through scheduler job's document reference

BDU:2025-04026

CVSS3: 9

fstec

почти 3 года назад

Уязвимость программного интерфейса платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 93%

0.1081

Средний

9 Critical

CVSS3

8.8 High

CVSS3

Дефекты

CWE-95

CWE-352