Podatność w XWiki Platform (od wersji 2.3) pozwala dowolnemu użytkownikowi posiadającemu możliwość edycji strony wiki na uzyskanie uprawnień programistycznych (programming right) całej instalacji. Zagrożenie jest krytyczne, ponieważ domyślnie każdy użytkownik może edytować swój profil, co czyni tę podatność możliwą do wykorzystania przez wszystkich użytkowników instancji XWiki.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform. Starting in 2.3 and prior to versions 14.10.15, 15.5.2, and 15.7-rc-1, anyone who can edit an arbitrary wiki page in an XWiki installation can gain programming right through several cases of missing escaping in the code for displaying sections in the administration interface. This impacts the confidentiality, integrity and availability of the whole XWiki installation. Normally, all users are allowed to edit their own user profile so this should be exploitable by all users of the XWiki instance. This has been fixed in XWiki 14.10.15, 15.5.2 and 15.7RC1. The patches can be manually applied to the `XWiki.ConfigurableClassMacros` and `XWiki.ConfigurableClass` pages.
W kodzie odpowiedzialnym za wyświetlanie sekcji w interfejsie administracyjnym XWiki brakuje właściwego escapowania danych wejściowych (CWE-94, CWE-95). Atakujący może wstrzyknąć złośliwy kod do treści edytowalnej strony wiki, który następnie zostanie wykonany z uprawnieniami programistycznymi. Podatność dotyczy stron `XWiki.ConfigurableClassMacros` oraz `XWiki.ConfigurableClass` i jest możliwa do wykorzystania zdalnie bez szczególnych uprawnień — wystarczy możliwość edycji dowolnej strony, np. własnego profilu użytkownika.
Atakujący może uzyskać pełne uprawnienia programistyczne w instalacji XWiki, co prowadzi do naruszenia poufności, integralności oraz dostępności całej instancji — włącznie z możliwością przejęcia kontroli nad platformą.
Należy zaktualizować XWiki Platform do wersji 14.10.15, 15.5.2 lub 15.7RC1. Alternatywnie możliwe jest ręczne zastosowanie patchy bezpośrednio na stronach `XWiki.ConfigurableClassMacros` oraz `XWiki.ConfigurableClass` zgodnie z commitami wskazanymi w referencjach producenta.
XWiki Platform w wersjach od 2.3 do (nie włącznie) 14.10.15, 15.5.2 oraz 15.7-rc-1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki15.615.72.3 – 14.10.5 (bez)15.0 – 15.5.2 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra