Vulnerabilidad en XWiki (CVE-2023-37913)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
25/10/2023
Última modificación:
03/11/2023
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. A partir de la versión 3.5-milestone-1 y antes de las versiones 14.10.8 y 15.3-rc-1, activar el convertidor de Office con un nombre de archivo especialmente manipulado permite escribir el contenido del archivo adjunto en una ubicación controlada por el atacante en el servidor siempre que el proceso Java tiene acceso de escritura a esa ubicación. En particular, en la combinación con el movimiento de archivos adjuntos, una característica introducida en XWiki 14.0, esto es fácil de reproducir pero también es posible reproducir en versiones tan antiguas como XWiki 3.5 cargando el archivo adjunto a través de la API REST que no elimina `/` o `\` del nombre del archivo. Como el tipo mime del archivo adjunto no importa para la explotación, esto podría usarse, por ejemplo, para reemplazar el archivo `jar` por una extensión que permitiría ejecutar código Java arbitrario y, por lo tanto, afectaría la confidencialidad, integridad y disponibilidad de la instalación de XWiki. Esta vulnerabilidad ha sido parcheada en XWiki 14.10.8 y 15.3RC1. No se conocen workarounds aparte de desactivar el convertidor de Office.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 3.5 (incluyendo) | 14.10.8 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página