Vulnerabilidad en XWiki Platform (CVE-2023-50719)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
15/12/2023
Última modificación:
19/12/2023
Descripción
XWiki Platform es una plataforma wiki genérica. A partir de 7.2-milestone-2 y antes de las versiones 14.10.15, 15.5.2 y 15.7-rc-1, la búsqueda basada en Solr en XWiki revela los hashes de contraseñas de todos los usuarios a cualquier persona con acceso directo a los respectivos perfiles de usuario. De forma predeterminada, todos los perfiles de usuario son públicos. Esta vulnerabilidad también afecta cualquier configuración utilizada por extensiones que contengan contraseñas como claves API que sean visibles para el atacante. Normalmente, no se puede acceder a dichas contraseñas, pero esta vulnerabilidad las revelaría como texto plano. Esto ha sido parcheado en XWiki 14.10.15, 15.5.2 y 15.7RC1. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 7.3 (incluyendo) | 14.10.5 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.5.2 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:7.2:milestone2:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:7.2:milestone3:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:15.6:-:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:15.6:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:15.7:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página