Vulnerabilidad en XWiki Platform (CVE-2022-41933)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
23/11/2022
Última modificación:
10/07/2023
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. Cuando se utilizó la función "restablecer una contraseña olvidada" de XWiki, la contraseña se almacenó en texto plano en la base de datos. Esto sólo afecta a XWiki 13.1RC1 y versiones más recientes. Tenga en cuenta que solo se refiere a la función de restablecimiento de contraseña disponible en el enlace "Olvidó su contraseña" en la vista de inicio de sesión: las funciones que permiten a un usuario cambiar su contraseña o que un administrador cambie la contraseña de un usuario no se ven afectadas. Esta vulnerabilidad es particularmente peligrosa en combinación con otras vulnerabilidades que permiten realizar fugas de datos personales de los usuarios, como GHSA-599v-w48h-rjrm. Tenga en cuenta que esta vulnerabilidad sólo afecta a los usuarios de la wiki principal: en el caso de las granjas, los usuarios registrados en la subwiki no se ven afectados gracias a un error que descubrimos al investigar esto. El problema se solucionó en las versiones 14.6RC1, 14.4.3 y 13.10.8. El parche implica una migración de los usuarios afectados, así como del historial de la página, para garantizar que ninguna contraseña permanezca en texto plano en la base de datos. Esta migración también implica informar a los usuarios sobre la posible divulgación de sus contraseñas: de forma predeterminada, se envían automáticamente dos correos electrónicos a los usuarios afectados. Un primer correo electrónico para informar sobre la posibilidad de que se haya filtrado su contraseña y un segundo correo electrónico utilizando la función de restablecimiento de contraseña para pedirles que establezcan una nueva contraseña. También es posible que los administradores establezcan algunas propiedades para la migración: es posible decidir si la contraseña del usuario debe restablecerse (predeterminada) o si las contraseñas deben conservarse pero solo con hash. Tenga en cuenta que en la primera opción, los usuarios ya no podrán iniciar sesión hasta que establezcan una nueva contraseña si se vieron afectados. Tenga en cuenta que en ambas opciones se enviarán correos electrónicos a los usuarios para informarles y animarles a cambiar sus contraseñas.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.1 (excluyendo) | 13.10.8 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 14.0.0 (incluyendo) | 14.4.3 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:13.1:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/xwiki/xwiki-platform/commit/443e8398b75a1295067d74afb5898370782d863a#diff-f8a8f8ba80dfc55f044e2e60b521ce379176430ca6921b0f87b79cf682531f79L322
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-599v-w48h-rjrm
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-q2hm-2h45-v5g3
- https://jira.xwiki.org/browse/XWIKI-19869
- https://jira.xwiki.org/browse/XWIKI-19945