XWiki Platform jest podatna na zdalne wykonanie kodu (RCE) poprzez funkcję rejestracji użytkownika. Atakujący może wykonać dowolny kod bez uwierzytelnienia, co przy maksymalnym wyniku CVSS 10.0 czyni tę podatność ekstremalnie niebezpieczną.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki is vulnerable to a remote code execution (RCE) attack through its user registration feature. This issue allows an attacker to execute arbitrary code by crafting malicious payloads in the "first name" or "last name" fields during user registration. This impacts all installations that have user registration enabled for guests. This vulnerability has been patched in XWiki 14.10.17, 15.5.3 and 15.8 RC1.
Podatność wynika z nieprawidłowej obsługi danych wejściowych (CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code, CWE-94: Improper Control of Code Generation). Atakujący umieszcza złośliwy payload w polach 'first name' lub 'last name' podczas rejestracji nowego konta użytkownika. Platforma przetwarza te dane w sposób umożliwiający interpretację osadzonego kodu, co prowadzi do jego wykonania w kontekście serwera. Do przeprowadzenia ataku nie są wymagane żadne uprawnienia ani interakcja ze strony użytkownika.
Atakujący może wykonać dowolny kod na serwerze hostującym XWiki, co potencjalnie prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych, modyfikacji treści wiki oraz lateral movement w sieci wewnętrznej.
Należy zaktualizować XWiki Platform do wersji 14.10.17, 15.5.3 lub 15.8 RC1 (albo nowszych). Jeśli natychmiastowa aktualizacja nie jest możliwa, należy tymczasowo wyłączyć funkcję rejestracji użytkowników dla gości do czasu zastosowania patcha.
Wszystkie instalacje XWiki Platform z włączoną rejestracją użytkowników dla gości (guests), działające na wersjach wcześniejszych niż 14.10.17, 15.5.3 oraz 15.8 RC1.
Podatność dotyczy wyłącznie instalacji z włączoną opcją rejestracji dla niezalogowanych użytkowników (guests). Wyłączenie tej funkcji stanowi skuteczny środek zaradczy do czasu aktualizacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki< 14.10.1715.0 – 15.5.3 (bez)15.6 – 15.7
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra