CRITICAL🇬🇧 English

CVE-2024-43400

XWiki Platform — XSS przez spreparowany URL bez uprawnień skryptowych

CVSS 9.0v3.1pub. 2024-08-19upd. 2024-08-20

Podatność w XWiki Platform umożliwia użytkownikowi bez uprawnień Script lub Programming stworzenie URL-a prowadzącego do strony z dowolnym kodem JavaScript. Atak wymaga socjotechniki, jednak jego skutki są krytyczne — możliwe przejęcie kontroli nad sesją ofiary i danymi.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. It is possible for a user without Script or Programming rights to craft a URL pointing to a page with arbitrary JavaScript. This requires social engineer to trick a user to follow the URL. This has been patched in XWiki 14.10.21, 15.5.5, 15.10.6 and 16.0.0.

🤖 Analiza AI
Jak działa

Atakujący bez specjalnych uprawnień tworzy spreparowany URL wskazujący na stronę XWiki zawierającą arbitralny kod JavaScript (XSS). Następnie, stosując techniki inżynierii społecznej, nakłania uwierzytelnionego użytkownika do kliknięcia w ten link. Po otwarciu strony przeglądarka ofiary wykonuje złośliwy skrypt w kontekście aplikacji XWiki, co może prowadzić do kradzieży sesji, modyfikacji treści lub dalszego rozprzestrzeniania ataku.

Skutki

Atakujący może uzyskać dostęp do poufnych danych sesji ofiary, modyfikować zawartość wiki lub wykonywać działania w imieniu zaatakowanego użytkownika. Ze względu na ocenę CVSS 9.0 i zakres wpływu obejmujący poufność, integralność oraz dostępność, skutki mogą być bardzo poważne.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 14.10.21, 15.5.5, 15.10.6 lub 16.0.0, w których podatność została usunięta. Dodatkowo zaleca się edukację użytkowników w zakresie rozpoznawania podejrzanych linków i technik phishingowych.

Kogo dotyczy

XWiki Platform w wersjach wcześniejszych niż 14.10.21, 15.5.5, 15.10.6 oraz 16.0.0

Uwagi

Podatność opisana i opublikowana w ramach GitHub Security Advisories (GHSA-wcg9-pgqv-xm5v) oraz śledzona w systemie JIRA projektu XWiki pod numerem XWIKI-21810. Poprawka dostępna w repozytorium GitHub projektu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    < 14.10.2115.0 – 15.5.5 (bez)15.6 – 15.10.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra