XWiki Platform sérülékenysége
Angol cím: XWiki Platform vulnerability
Publikálás dátuma: 2023.04.19.
Utolsó módosítás dátuma: 2023.04.19.
Leírás
Befecskendezés: A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják hogyan parszolja, vagy interpretálja a parancsot, vagy az adatstruktúrát amikor azt a következő komponensnek adja át.
Leírás forrása: CWE-74Elemzés leírás
Eredeti nyelven: XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In XWiki, every user can add translations that are only applied to the current user. This also allows overriding existing translations. Such translations are often included in privileged contexts without any escaping which allows remote code execution for any user who has edit access on at least one document which could be the user’s own profile where edit access is enabled by default. A mitigation for this vulnerability is part of XWiki 14.10.2 and XWiki 15.0 RC1: translations with user scope now require script right. This means that regular users cannot exploit this anymore as users don’t have script right by default anymore starting with XWiki 14.10. There are no known workarounds apart from upgrading to a patched versions.
Elemzés leírás forrása: CVE-2023-29510Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9.9 (Kritikus)
Vektor: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Hatás pontszáma: 6
Kihasználhatóság pontszáma: 3.1
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Sérülékeny szoftverek
XWiki 14.10.2 és 15.0 RC1 előtti verziók
