Vulnerabilidad en XWiki Platform Index UI (CVE-2022-36096)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
08/09/2022
Última modificación:
13/09/2022
Descripción
XWiki Platform Index UI es un índice de todas las páginas, archivos adjuntos, páginas huérfanas y eliminadas y archivos adjuntos para la plataforma XWiki, una plataforma wiki genérica. En versiones anteriores a 13.10.6 y 14.3, es posible almacenar JavaScript que ejecutará cualquiera que visualice el índice de archivos adjuntos eliminados con un archivo adjunto que contenga javascript en su nombre. Este problema ha sido parcheado en XWiki versiones 13.10.6 y 14.3. Como mitigación, corrija y modifique la vulnerabilidad al editar la página wiki "XWiki.DeletedAttachments" con el editor de objetos, abra el objeto "JavaScriptExtension" y aplique en el contenido los cambios que pueden encontrarse en la confirmación de corrección
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 2.3 (incluyendo) | 13.10.6 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.3 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:2.2:milestone1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página