CRITICAL🇬🇧 English

CVE-2024-37901

XWiki Platform — RCE przez konfigurację SearchSuggest dla użytkowników z prawem edycji

CVSS 9.9v3.1pub. 2024-07-31upd. 2024-09-06

Każdy użytkownik posiadający prawo edycji dowolnej strony w XWiki Platform może wykonać dowolny zdalny kod (RCE) poprzez dodanie instancji klas `XWiki.SearchSuggestConfig` i `XWiki.SearchSuggestSourceClass` do swojego profilu lub innej strony. Podatność zagraża poufności, integralności i dostępności całej instalacji XWiki.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user with edit right on any page can perform arbitrary remote code execution by adding instances of `XWiki.SearchSuggestConfig` and `XWiki.SearchSuggestSourceClass` to their user profile or any other page. This compromises the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.21, 15.5.5 and 15.10.2.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli dostępu (CWE-862) oraz możliwości wstrzyknięcia i ewaluacji kodu (CWE-95, CWE-94). Użytkownik z prawem edycji może zdefiniować specjalnie spreparowane instancje obiektów klas `XWiki.SearchSuggestConfig` oraz `XWiki.SearchSuggestSourceClass` na dowolnej stronie wiki, w tym na własnym profilu. Platforma przetwarza te obiekty bez odpowiedniej weryfikacji uprawnień i izolacji, co prowadzi do wykonania osadzonego kodu w kontekście serwera.

Skutki

Atakujący może przejąć pełną kontrolę nad instalacją XWiki, uzyskując dostęp do wszystkich danych, modyfikując zawartość wiki oraz powodując niedostępność usługi — co skutkuje całkowitym naruszeniem poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 14.10.21, 15.5.5 lub 15.10.2, w których podatność została usunięta. Patche dostępne są w repozytorium GitHub projektu XWiki.

Kogo dotyczy

XWiki Platform we wszystkich wersjach przed 14.10.21, 15.5.5 oraz 15.10.2

Uwagi

Podatność wymaga jedynie posiadania prawa edycji dowolnej strony — nie są wymagane uprawnienia administracyjne, co znacząco zwiększa powierzchnię ataku w środowiskach z wieloma użytkownikami.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    9.2 – 14.10.21 (bez)15.0 – 15.5.5 (bez)15.6 – 15.10.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra