Vulnerabilidad en XWiki Platform (CVE-2023-46244)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/11/2023
Última modificación:
14/11/2023
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. En las versiones afectadas, es posible que un usuario escriba un script en el que se ejecute cualquier contenido de velocidad con el derecho de cualquier otro autor del contenido del documento. Dado que esta API requiere derechos de programación y el usuario no los tiene, el resultado esperado es `$doc.document.authors.contentAuthor` (script no ejecutado), desafortunadamente, con la vulnerabilidad de seguridad, es posible que el atacante obtenga `XWiki.superadmin` que muestra que el título fue ejecutado con el derecho del documento no modificado. Esto ha sido parcheado en las versiones 14.10.7 y 15.2RC1 de XWiki. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 3.3 (incluyendo) | 14.10.7 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.2 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:3.2:milestone3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/xwiki/xwiki-platform/commit/11a9170dfe63e59f4066db67f84dbfce4ed619c6
- https://github.com/xwiki/xwiki-platform/commit/41d7dca2d30084966ca6a7ee537f39ee8354a7e3
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmxw-c48h-2vf5
- https://jira.xwiki.org/browse/XWIKI-20624
- https://jira.xwiki.org/browse/XWIKI-20625