Vulnerabilidad en XWiki Platform (CVE-2023-40573)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/08/2023
Última modificación:
01/09/2023
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones construidas sobre ella. XWiki soporta trabajos programados que contienen scripts Groovy. Actualmente, el trabajo comprueba si el autor del contenido del trabajo tiene derechos de programación. Sin embargo, modificar o añadir un script de trabajo a un documento no modifica el autor del contenido. Junto con una vulnerabilidad CSRF en el programador de trabajos, esto puede ser explotado para la ejecución remota de código por un atacante con derecho de edición en la wiki. Si el ataque tiene éxito, se producirá una entrada en el registro de errores con el mensaje "Job content executed". Esta vulnerabilidad ha sido parcheada en XWiki 14.10.9 y 15.4RC1.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 14.10.9 (excluyendo) | |
cpe:2.3:a:xwiki:xwiki:15.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:15.0:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:15.1:-:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:15.1:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:15.2:-:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:15.2:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:15.3:-:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:15.3:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página