Funkcja wyszukiwania bazodanowego w XWiki Platform umożliwia wykonanie dowolnego kodu zdalnie (RCE) poprzez spreparowany tekst wyszukiwania. Podatność ma maksymalną ocenę CVSS 10.0 i zagraża poufności, integralności oraz dostępności całej instalacji XWiki.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform. Starting in version 2.4-milestone-1 and prior to versions 4.10.20, 15.5.4, and 15.10-rc-1, XWiki's database search allows remote code execution through the search text. This allows remote code execution for any visitor of a public wiki or user of a closed wiki as the database search is by default accessible for all users. This impacts the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.20, 15.5.4 and 15.10RC1. As a workaround, one may manually apply the patch to the page `Main.DatabaseSearch`. Alternatively, unless database search is explicitly used by users, this page can be deleted as this is not the default search interface of XWiki.
Mechanizm wyszukiwania bazodanowego (strona `Main.DatabaseSearch`) nie waliduje w sposób bezpieczny danych wejściowych podanych przez użytkownika, co odpowiada podatnościom klasy CWE-94 (wstrzyknięcie kodu) i CWE-95 (eval niebezpiecznych wyrażeń). Atakujący może umieścić w polu wyszukiwania payload zawierający złośliwy kod, który zostanie zinterpretowany i wykonany przez silnik platformy. Domyślnie strona wyszukiwania bazodanowego jest dostępna dla wszystkich użytkowników, co oznacza, że w przypadku publicznego wiki exploit może przeprowadzić dowolny, niezalogowany odwiedzający.
Atakujący uzyskuje możliwość wykonania dowolnego kodu po stronie serwera (RCE), co prowadzi do całkowitego przejęcia kontroli nad instalacją XWiki — naruszenia poufności, integralności i dostępności wszystkich danych oraz usług.
Należy zaktualizować XWiki Platform do wersji 14.10.20, 15.5.4 lub 15.10RC1, w których podatność została załatana. Jako obejście można ręcznie zaaplikować patch na stronie `Main.DatabaseSearch` lub — jeśli wyszukiwanie bazodanowe nie jest aktywnie używane — usunąć tę stronę, ponieważ nie jest ona domyślnym interfejsem wyszukiwania XWiki.
XWiki Platform w wersjach od 2.4-milestone-1 do (z wyłączeniem) 14.10.20, 15.5.4 oraz 15.10-rc-1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki2.4 – 14.10.20 (bez)15.0 – 15.5.4 (bez)15.6 – 15.10 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra