Vulnerabilidad en XWiki Platform (CVE-2023-50722)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
15/12/2023
Última modificación:
19/12/2023
Descripción
XWiki Platform es una plataforma wiki genérica. A partir de la versión 2.3 y anteriores a las versiones 14.10.15, 15.5.2 y 15.7-rc-1, hay una vulnerabilidad XSS reflejada o también de ejecución remota directa de código en el código para mostrar secciones de administración configurables. El código que se puede pasar a través de un parámetro de URL solo se ejecuta cuando el usuario que visita la URL manipulada tiene derecho de edición en al menos una sección de configuración. Si bien cualquier usuario de la wiki podría crear fácilmente una sección de este tipo, esta vulnerabilidad no requiere que el atacante tenga una cuenta ni acceso a la wiki. Es suficiente engañar a cualquier usuario administrador de la instalación de XWiki para que visite la URL manipulada. Esta vulnerabilidad permite la ejecución remota completa de código con derechos de programación y, por lo tanto, afecta la confidencialidad, integridad y disponibilidad de toda la instalación de XWiki. Esto se solucionó en XWiki 14.10.15, 15.5.2 y 15.7RC1. El parche se puede aplicar manualmente al documento `XWiki.ConfigurableClass`.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 2.3 (incluyendo) | 14.10.5 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.5.2 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:15.6:-:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:15.6:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:15.7:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página