Vulnerabilidad en XWiki (CVE-2024-45591)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/09/2024

Última modificación:

20/09/2024

Descripción

La plataforma XWiki es una plataforma wiki genérica. La API REST expone el historial de cualquier página en XWiki de la que el atacante conozca el nombre. La información expuesta incluye, para cada modificación de la página, la hora de la modificación, el número de versión, el autor de la modificación (tanto el nombre de usuario como el nombre mostrado) y el comentario de la versión. Esta información se expone independientemente de la configuración de los derechos, e incluso cuando la wiki está configurada para ser completamente privada. En una wiki privada, esto se puede comprobar accediendo a /xwiki/rest/wikis/xwiki/spaces/Main/pages/WebHome/history; si muestra el historial de la página principal, la instalación es vulnerable. Esto se ha corregido en XWiki 15.10.9 y XWiki 16.3.0RC1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:xwiki:xwiki::::::::	1.8 (incluyendo)	15.10.9 (excluyendo)
cpe:2.3:a:xwiki:xwiki::::::::	16.0.0 (incluyendo)	16.3.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en XWiki (CVE-2024-45591)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información