XWiki Platform zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez interfejs administracyjny wyszukiwania, który nie escapuje poprawnie identyfikatorów i etykiet rozszerzeń UI. Zagrożenie jest krytyczne, ponieważ może być wykorzystane przez dowolnego zalogowanego użytkownika i kompromituje całą instancję XWiki.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform. Starting in 4.5-rc-1 and prior to versions 14.10.15, 15.5.2, and 15.7-rc-1, the search administration interface doesn't properly escape the id and label of search user interface extensions, allowing the injection of XWiki syntax containing script macros including Groovy macros that allow remote code execution, impacting the confidentiality, integrity and availability of the whole XWiki instance. This attack can be executed by any user who can edit some wiki page like the user's profile (editable by default) as user interface extensions that will be displayed in the search administration can be added on any document by any user. The necessary escaping has been added in XWiki 14.10.15, 15.5.2 and 15.7RC1. As a workaround, the patch can be applied manually applied to the page `XWiki.SearchAdmin`.
Interfejs administracyjny wyszukiwania (`XWiki.SearchAdmin`) nie stosuje właściwego escapowania dla pól `id` i `label` rozszerzeń interfejsu użytkownika (UI extensions). Atakujący może wstrzyknąć do tych pól składnię XWiki zawierającą makra skryptowe, w tym makra Groovy wykonywane po stronie serwera. Ponieważ rozszerzenia UI można dodawać do dowolnego dokumentu (np. profilu użytkownika, edytowalnego domyślnie), atak nie wymaga żadnych podwyższonych uprawnień — wystarczy posiadanie konta z prawem edycji stron wiki.
Atakujący może uzyskać pełne zdalne wykonanie kodu (RCE) na serwerze hostującym instancję XWiki, co bezpośrednio narusza poufność, integralność oraz dostępność całej platformy.
Należy zaktualizować XWiki Platform do wersji 14.10.15, 15.5.2 lub 15.7-rc-1 (albo nowszej). Jeśli aktualizacja nie jest możliwa, można ręcznie zastosować poprawkę (patch) bezpośrednio na stronie `XWiki.SearchAdmin` zgodnie z committem dostępnym w referencjach producenta.
XWiki Platform w wersjach od 4.5-rc-1 do 14.10.14 włącznie oraz od 15.0 do 15.5.1 włącznie (przed 14.10.15, 15.5.2 i 15.7-rc-1)
Producent udostępnia obejście (workaround) polegające na ręcznym zastosowaniu patcha na stronie XWiki.SearchAdmin, co umożliwia mitygację bez pełnej aktualizacji platformy.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki15.615.74.5 – 14.10.5 (bez)15.0 – 15.5.2 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra