Vulnerabilidad en la plataforma Xwiki (CVE-2022-29161)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-326 Fortaleza de cifrado inadecuada

Fecha de publicación:

06/05/2022

Última modificación:

21/07/2023

Descripción

La plataforma XWiki es una plataforma wiki genérica que ofrece servicios de ejecución para las aplicaciones construidas sobre ella. La API Crypto de XWiki generará certificados X509 firmados por defecto usando SHA1 con RSA, que ya no es considerada segura para su uso en firmas de certificados, debido al riesgo de colisiones con SHA1. El problema ha sido parcheado en versiones 13.10.6, 14.3.1 y 14.4-rc-1 de XWiki. Desde entonces, la Crypto API generará certificados X509 firmados por defecto usando SHA256 con RSA. Es recomendado a administradores que actualicen su instalación de XWiki a una de las versiones parcheadas. Si la actualización no es posible, es posible parchear el módulo xwiki-platform-crypto en una instalación local al aplicar el cambio expuesto en 26728f3 y volviendo a compilar el módulo

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico