Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Wiki.js (CVE-2022-23654)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/02/2022
Última modificación:
24/07/2023

Descripción

Wiki.js es una aplicación wiki construida sobre Node.js. En las versiones afectadas, un usuario autenticado con acceso de escritura en un conjunto restringido de rutas puede actualizar una página fuera de las rutas permitidas especificando un ID de página de destino diferente mientras mantiene la ruta intacta. El control de acceso comprueba incorrectamente el acceso a la ruta con los valores proporcionados por el usuario en lugar de la ruta real asociada al ID de la página. El commit https://github.com/Requarks/wiki/commit/411802ec2f654bb5ed1126c307575b81e2361c6b corrige esta vulnerabilidad comprobando el control de acceso en la ruta asociada al ID de la página en lugar del valor proporcionado por el usuario. Cuando la ruta es diferente al valor actual, se realiza una segunda comprobación de control de acceso en la ruta proporcionada por el usuario antes de la operación de movimiento

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:requarks:wiki.js:*:*:*:*:*:*:*:* 2.5.276 (excluyendo)