Vulnerabilidad en XWiki Platform (CVE-2024-31464)

XWiki Platform es una plataforma wiki genérica. A partir de la versión 5.0-rc-1 y antes de las versiones 14.10.19, 15.5.4 y 15.9-rc-1, es posible acceder al hash de una contraseña utilizando la función diff del historial siempre que se elimine el objeto que almacena la contraseña. Utilizando esa vulnerabilidad, es posible que un atacante tenga acceso al hash de la contraseña de un usuario si tiene derechos para editar la página del usuario. Con el esquema de derechos predeterminado en XWiki, esta vulnerabilidad normalmente se evita en los perfiles de usuario, excepto en el caso de los usuarios con derechos de administrador. Tenga en cuenta que esta vulnerabilidad también afecta a cualquier extensión que pueda utilizar contraseñas almacenadas en xobjects: para esos casos de uso, depende de los derechos de esas páginas. Actualmente no hay forma de estar 100% seguro de que esta vulnerabilidad haya sido explotada, ya que un atacante con suficientes privilegios podría haber eliminado la revisión en la que se eliminó el xobject después de revertir la eliminación. Pero, de nuevo, esta operación requiere privilegios elevados en la página de destino (derecho de administrador). Una página con una contraseña de usuario xobject que tenga en su historial una revisión en la que se haya eliminado el objeto debe considerarse en riesgo y la contraseña debe cambiarse allí. un diff, para asegurarse de que no provenga de un campo de contraseña. Como otra mitigación, los administradores deben asegurarse de que las páginas de usuario estén protegidas adecuadamente: el derecho de edición no debe permitirse a otros usuarios que no sean el administrador y el propietario del perfil (que es el derecho predeterminado). No hay muchas workarounds posibles para un usuario privilegiado aparte de actualizar XWiki.