Vulnerabilidad en CKEditor (CVE-2023-22457)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

04/01/2023

Última modificación:

10/01/2023

Descripción

CKEditor Integration UI agrega soporte para editar páginas wiki usando CKEditor. Antes de las versiones 1.64.3, el documento `CKEditor.HTMLConverter` carecía de protección contra Cross Site Request Forgery (CSRF), lo que permitía ejecutar macros con los derechos del usuario actual. Si se engañara a un usuario privilegiado para que ejecutara una solicitud GET a este documento con ciertos parámetros (por ejemplo, a través de una imagen con una URL correspondiente incrustada en un comentario o mediante una redirección), esto permitiría la ejecución remota arbitraria de código y el atacante podría obtener derechos, acceder a información privada o afectar la disponibilidad de la wiki. El problema se solucionó en la versión 1.64.3 de CKEditor Integration. Esto también se ha parcheado en la versión de CKEditor Integration que se incluye a partir de XWiki 14.6 RC1. No existen workarounds para esto aparte de actualizar CKEditor Integration a una versión fija.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto