Vulnerabilidad en Xwiki (CVE-2021-43841)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/02/2022
Última modificación:
10/02/2022
Descripción
XWiki es una plataforma wiki genérica que ofrece servicios de tiempo de ejecución para aplicaciones construidas sobre ella. Cuando es usada la configuración predeterminada de XWiki, es posible que un atacante cargue un SVG que contenga un script ejecutado cuando es ejecutada la acción de descarga en el archivo. Este problema ha sido parcheado para que la configuración por defecto no permita mostrar los archivos SVG en el navegador. Se aconseja a usuarios que actualicen o desestimen la carga de archivos SVG
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 1.0 (incluyendo) | 12.10.6 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.0 (incluyendo) | 13.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/xwiki/xwiki-platform/commit/5853d492b3a274db0d94d560e2a5ea988a271c62
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-9jq9-c2cv-pcrj
- https://jira.xwiki.org/browse/XWIKI-18368
- https://www.xwiki.org/xwiki/bin/view/Documentation/AdminGuide/Attachments#HAttachmentdisplayordownload