Vulnerabilidad en XWiki Platform Old Core (CVE-2022-36092)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
08/09/2022
Última modificación:
14/09/2022
Descripción
XWiki Platform Old Core es un paquete central para XWiki Platform, una plataforma wiki genérica. En versiones anteriores a 14.2 y 13.10.4, todas las verificaciones de derechos que normalmente impedirían que un usuario visualice un documento en un wiki pueden omitirse mediante la acción de inicio de sesión y las plantillas especificadas directamente. Esto expone el título, el contenido y los comentarios de cualquier documento y las propiedades de los objetos, aunque es debido conocer el nombre de la clase y la propiedad. Esto también es explotable en wikis privados. Esto ha sido corregido en versiones 14.2 y 13.10.4, al verificar apropiadamente los derechos de visualización antes de cargar documentos y al rechazar las plantillas no predeterminadas en la acción de inicio de sesión, registro y máscara. Como mitigación, sería posible proteger todas las plantillas individualmente al agregar código para verificar primero los derechos de acceso
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.10.4 (excluyendo) | |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/xwiki/xwiki-platform/commit/71a6d0bb6f8ab718fcfaae0e9b8c16c2d69cd4bb
- https://github.com/xwiki/xwiki-platform/commit/9b7057d57a941592d763992d4299456300918208
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-8h89-34w2-jpfm
- https://jira.xwiki.org/browse/XWIKI-18602
- https://jira.xwiki.org/browse/XWIKI-19549