Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el registro de fallos de autenticación en el método de servicio script de en la Plataforma Xwiki (CVE-2021-32729)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/07/2021
Última modificación:
02/07/2022

Descripción

Una plataforma XWiki es una Plataforma wiki genérica que ofrece servicios de tiempo de ejecución para aplicaciones construidas sobre ella. Se presenta una vulnerabilidad en versiones anteriores a 12.6.88, 12.10.4 y 13.0. El método de servicio script usado para restablecer el registro de fallos de autenticación puede ser ejecutado por cualquier usuario con derechos de script y no requiere derechos de programación. Un atacante con derechos de script que sea capaz de restablecer el registro de fallos de autenticación podría llevar a cabo un ataque de fuerza bruta, ya que sería capaz de desactivar virtualmente el mecanismo introducido para mitigar esos ataques. El problema ha sido parcheado en versiones 12.6.8, 12.10.4 y 13.0. No se presentan soluciones aparte de la actualización

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 11.6.1 (incluyendo) 12.6.8 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 12.7 (incluyendo) 12.10.4 (excluyendo)