Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en XWiki Platform (CVE-2023-40573)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/08/2023
Última modificación:
01/09/2023

Descripción

XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones construidas sobre ella. XWiki soporta trabajos programados que contienen scripts Groovy. Actualmente, el trabajo comprueba si el autor del contenido del trabajo tiene derechos de programación. Sin embargo, modificar o añadir un script de trabajo a un documento no modifica el autor del contenido. Junto con una vulnerabilidad CSRF en el programador de trabajos, esto puede ser explotado para la ejecución remota de código por un atacante con derecho de edición en la wiki. Si el ataque tiene éxito, se producirá una entrada en el registro de errores con el mensaje "Job content executed". Esta vulnerabilidad ha sido parcheada en XWiki 14.10.9 y 15.4RC1.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 14.10.9 (excluyendo)
cpe:2.3:a:xwiki:xwiki:15.0:-:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:15.0:rc1:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:15.1:-:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:15.1:rc1:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:15.2:-:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:15.2:rc1:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:15.3:-:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:15.3:rc1:*:*:*:*:*:*