Описание
XWiki is a generic wiki platform. It's possible to execute any SQL query in Oracle by using the function like DBMS_XMLGEN or DBMS_XMLQUERY. The XWiki query validator does not sanitize functions that would be used in a simple select and Hibernate allows using any native function in an HQL query. This vulnerability is fixed in 16.10.2, 16.4.7, and 15.10.16.
Уязвимые конфигурации
Конфигурация 1Версия от 1.0 (включая) до 15.10.16 (исключая)Версия от 16.0.0 (включая) до 16.4.7 (исключая)Версия от 16.5.0 (включая) до 16.10.2 (исключая)
Одно из
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
EPSS
Процентиль: 70%
0.0063
Низкий
9.8 Critical
CVSS3
Дефекты
CWE-89
Связанные уязвимости
github
8 месяцев назад
XWiki allows SQL injection in query endpoint of REST API with Oracle
CVSS3: 9.8
fstec
около 1 года назад
Уязвимость функций DBMS_XMLGEN и DBMS_XMLQUERY платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 70%
0.0063
Низкий
9.8 Critical
CVSS3
Дефекты
CWE-89