XWiki Platform sérülékenysége
Angol cím: XWiki Platform vulnerability
Publikálás dátuma: 2023.04.19.
Utolsó módosítás dátuma: 2023.04.19.
Leírás
Befecskendezés: A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják hogyan parszolja, vagy inerpretálja a parancsot, vagy az adatstruktúrát amikor azt a következő komponensnek adja át.
Leírás forrása: CWE-74Elemzés leírás
Eredeti nyelven: XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user with view rights can execute arbitrary script macros including Groovy and Python macros that allow remote code execution including unrestricted read and write access to all wiki contents. The attack works by opening a non-existing page with a name crafted to contain a dangerous payload. This issue has been patched in XWiki 14.4.8, 14.10.3 and 15.0RC1. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Elemzés leírás forrása: CVE-2023-29522Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.9 (Kritikus)
Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Impact Score: 6
Exploitability Score: 3.1
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): Low
Sérülékeny szoftverek
XWiki 15.0-rc-1 és 14.10.3. előtti verziók