Podatność w XWiki Platform umożliwia wykonanie zdalnego kodu (RCE) poprzez utworzenie dokumentu ze spreparowanym tytułem, który jest przetwarzany przez wbudowaną wyszukiwarkę opartą na Solr. Zagrożenie jest krytyczne, ponieważ z podatności może skorzystać każdy zalogowany użytkownik mający domyślnie prawo edycji tytułu przestrzeni (space).
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform. Starting in version 7.2-rc-1 and prior to versions 4.10.20, 15.5.4, and 15.10-rc-1, by creating a document with a specially crafted title, it is possible to trigger remote code execution in the (Solr-based) search in XWiki. This allows any user who can edit the title of a space (all users by default) to execute any Groovy code in the XWiki installation which compromises the confidentiality, integrity and availability of the whole XWiki installation. This has been patched in XWiki 14.10.20, 15.5.4 and 15.10 RC1. As a workaround, manually apply the patch to the `Main.SolrSpaceFacet` page.
Atakujący tworzy dokument z odpowiednio spreparowanym tytułem przestrzeni (space title), który zawiera złośliwy kod Groovy. Podczas przetwarzania tytułu przez komponent wyszukiwania Solr (konkretnie stronę `Main.SolrSpaceFacet`) dane wejściowe są interpretowane i wykonywane jako kod Groovy bez odpowiedniej walidacji lub izolacji (CWE-94, CWE-95). Skutkuje to wykonaniem dowolnego kodu po stronie serwera XWiki w kontekście całej instalacji.
Atakujący może wykonać dowolny kod Groovy na serwerze, co prowadzi do pełnego naruszenia poufności, integralności i dostępności całej instalacji XWiki. W praktyce oznacza to możliwość przejęcia serwera, wycieku danych oraz zakłócenia działania platformy.
Należy zaktualizować XWiki Platform do wersji 14.10.20, 15.5.4 lub 15.10 RC1. Jako obejście (workaround) bez aktualizacji należy ręcznie zastosować patcha do strony `Main.SolrSpaceFacet` zgodnie z commitami opublikowanymi w repozytorium GitHub producenta.
XWiki Platform w wersjach od 7.2-rc-1 do wersji poprzedzających 14.10.20, 15.5.4 oraz 15.10-rc-1
Podatność istnieje od wersji 7.2-rc-1, co oznacza bardzo długi okres ekspozycji. Domyślne uprawnienia w XWiki pozwalają wszystkim zalogowanym użytkownikom edytować tytuły przestrzeni, co znacząco obniża próg wejścia dla atakującego.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki7.27.3 – 14.10.20 (bez)15.0 – 15.5.4 (bez)15.6 – 15.10 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra