CVE-2023-26055


2023. március 14. 13:23

xwiki / commons, Xwiki Commons sérülékenysége
Angol cím: xwiki / commons, Xwiki Commons vulnerability

Publikálás dátuma: 2023.03.02.
Utolsó módosítás dátuma: 2023.03.13.

Leírás

Egyéb: Az NVD cssak akkor használja ezt a kategóriát, ha az adott hiba nem tartozik más alcsoportba.

Leírás forrása: NVD-CWE-Other

Elemzés leírás

Eredeti nyelven: XWiki Commons are technical libraries common to several other top level XWiki projects. Starting in version 3.1-milestone-1, any user can edit their own profile and inject code, which is going to be executed with programming right. The same vulnerability can also be exploited in all other places where short text properties are displayed, e.g., in apps created using Apps Within Minutes that use a short text field. The problem has been patched on versions 13.10.9, 14.4.4, 14.7RC1.

Elemzés leírás forrása: CVE-2023-26055

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.9 (Kritikus)
Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Impact Score: 6
Exploitability Score: 3.1

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Hivatkozások

https://github.com/xwiki/xwiki-commons/security/advisories/GHSA-8cw6-4r32-6r3h
https://jira.xwiki.org/browse/XCOMMONS-2498
https://jira.xwiki.org/browse/XWIKI-19793
https://jira.xwiki.org/browse/XWIKI-19794

Sérülékeny szoftverek

Xwiki Commons 3.2-tól 13.10.9 előttig
xwiki / commons 14.4-tól 14.4.4 előttig
xwiki / commons 14.5-tól 14.7 előttig
xwiki / commons 3.1
xwiki / commons 3.1
xwiki / commons 3.1.1
xwiki / commons 14.4

Legfrissebb sérülékenységek
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
Tovább a sérülékenységekhez »