XWiki commons xml könyvtár sérülékenysége
Angol cím: XWiki commons xml library vulnerability
Publikálás dátuma: 2023.05.09.
Utolsó módosítás dátuma: 2023.05.09.
Leírás
Az azonosítókban szereplő érvénytelen karakterek helytelen semlegesítése a weboldalakon: A termék nem vagy nem megfelelően semlegesíti a tagnevek, URI-sémák és egyéb azonosítók közepén lévő érvénytelen karaktereket vagy bájtsorozatokat.
Leírás forrása: CWE-86Elemzés leírás
Eredeti nyelven: `org.xwiki.commons:xwiki-commons-xml` is an XML library used by the open-source wiki platform XWiki. The HTML sanitizer, introduced in version 14.6-rc-1, allows the injection of arbitrary HTML code and thus cross-site scripting via invalid data attributes. This vulnerability does not affect restricted cleaning in HTMLCleaner as there attributes are cleaned and thus characters like `/` and `>` are removed in all attribute names. This problem has been patched in XWiki 14.10.4 and 15.0 RC1 by making sure that data attributes only contain allowed characters. There are no known workarounds apart from upgrading to a version including the fix.
Elemzés leírás forrása: CVE-2023-31126Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9 (Kritikus)
Vektor: AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Hatás pontszáma: 6
Kihasználhatóság pontszáma: 2.3
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
XWiki 14.10.4 és 15.0 RC1 előtti verziók.
