Vulnerabilidad en XWiki Platform (CVE-2024-55876)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/12/2024
Última modificación:
30/04/2025
Descripción
XWiki Platform es una plataforma wiki genérica. A partir de la versión 1.2-milestone-2 y antes de las versiones 15.10.9 y 16.3.0, cualquier usuario con una cuenta en la wiki principal podía ejecutar operaciones de programación en subwikis. Para reproducir, como usuario de la wiki principal sin ningún derecho especial, visualice el documento `Scheduler.WebHome` en una subwiki. Luego, haga clic en cualquier operación (*por ejemplo,* Trigger) en cualquier trabajo. Si la operación es exitosa, entonces la instancia es vulnerable. Esto ha sido corregido en XWiki 15.10.9 y 16.3.0. Como workaround, aquellos que tienen subwikis donde el Programador de trabajos está habilitado pueden editar los objetos en `Scheduler.WebPreferences` para que coincidan con el parche.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 1.2.1 (incluyendo) | 15.10.9 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:-:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.3.0 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:1.2:-:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:1.2:milestone2:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:1.2:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:1.2:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:1.2:rc3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página