Vulnerabilidad en el registro de fallos de autenticación en el método de servicio script de en la Plataforma Xwiki (CVE-2021-32729)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/07/2021
Última modificación:
02/07/2022
Descripción
Una plataforma XWiki es una Plataforma wiki genérica que ofrece servicios de tiempo de ejecución para aplicaciones construidas sobre ella. Se presenta una vulnerabilidad en versiones anteriores a 12.6.88, 12.10.4 y 13.0. El método de servicio script usado para restablecer el registro de fallos de autenticación puede ser ejecutado por cualquier usuario con derechos de script y no requiere derechos de programación. Un atacante con derechos de script que sea capaz de restablecer el registro de fallos de autenticación podría llevar a cabo un ataque de fuerza bruta, ya que sería capaz de desactivar virtualmente el mecanismo introducido para mitigar esos ataques. El problema ha sido parcheado en versiones 12.6.8, 12.10.4 y 13.0. No se presentan soluciones aparte de la actualización
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 11.6.1 (incluyendo) | 12.6.8 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 12.7 (incluyendo) | 12.10.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página