CVE-2023-29518


2023. április 20. 09:37

XWiki Platform sérülékenysége
Angol cím: XWiki Platform vulnerability

Publikálás dátuma: 2023.04.19.
Utolsó módosítás dátuma: 2023.04.19.

Leírás

Befecskendezés: A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják hogyan parszolja, vagy inerpretálja a parancsot, vagy az adatstruktúrát amikor azt a következő komponensnek adja át.

Leírás forrása: CWE-74

Elemzés leírás

Eredeti nyelven: XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user with view rights can execute arbitrary Groovy, Python or Velocity code in XWiki leading to full access to the XWiki installation. The root cause is improper escaping of `Invitation.InvitationCommon`. This page is installed by default. The vulnerability has been patched in XWiki 15.0-rc-1, 14.10.1, 14.4.8, and 13.10.11. Users are advised to upgrade. There are no known workarounds for this issue.

Elemzés leírás forrása: CVE-2023-29518

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.9 (Kritikus)
Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Impact Score: 6
Exploitability Score: 3.1

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): Low

Hivatkozások

github.com
github.com
jira.xwiki.org

Sérülékeny szoftverek

XWiki 15.0-rc-1, 14.10.1, 14.4.8, 13.10.11 előtti verziók

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2021-43798 – Grafana Path Traversal sérülékenysége
CVE-2025-11371 – Gladinet CentreStack and TrioFox sérülékenysége
CVE-2025-11198 – Juniper Networks Security Director Policy Enforcer sérülékenysége
CVE-2025-59975 – Juniper Networks Junos Space sérülékenysége
CVE-2025-59964 – Juniper Networks Junos OS sérülékenysége
CVE-2025-60004 – Juniper Networks Junos OS and Junos OS Evolved sérülékenysége
CVE-2025-59968 – Juniper Networks Junos Space Security Director sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
Tovább a sérülékenységekhez »