CRITICAL🇬🇧 English

CVE-2024-55662

XWiki Platform — RCE przez Extension Repository Application (prawa programisty)

CVSS 9.9v3.1pub. 2024-12-12upd. 2025-04-30

W XWiki Platform, gdy zainstalowana jest aplikacja Extension Repository Application, dowolny zalogowany użytkownik może wykonać na serwerze kod wymagający uprawnień programisty (programming rights). Podatność jest krytyczna, ponieważ umożliwia nieautoryzowane wykonanie kodu po stronie serwera bez konieczności posiadania podwyższonych uprawnień.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform. Starting in version 3.3-milestone-1 and prior to versions 15.10.9 and 16.3.0, on instances where `Extension Repository Application` is installed, any user can execute any code requiring `programming` rights on the server. This vulnerability has been fixed in XWiki 15.10.9 and 16.3.0. Since `Extension Repository Application` is not mandatory, it can be safely disabled on instances that do not use it as a workaround. It is also possible to manually apply the patches from commit 8659f17d500522bf33595e402391592a35a162e8 to the page `ExtensionCode.ExtensionSheet` and to the page `ExtensionCode.ExtensionAuthorsDisplayer`.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej weryfikacji uprawnień (CWE-863) oraz możliwości wstrzyknięcia i wykonania kodu skryptowego (CWE-94, CWE-96) w kontekście stron XWiki. Atakujący z podstawowym dostępem do instancji XWiki może wykorzystać strony ExtensionCode.ExtensionSheet lub ExtensionCode.ExtensionAuthorsDisplayer, aby uruchomić dowolny kod z poziomem uprawnień programisty. Nie jest wymagana żadna interakcja ze strony innych użytkowników ani eskalacja uprawnień poza mechanizm samej podatności.

Skutki

Atakujący może wykonać dowolny kod na serwerze z najwyższymi uprawnieniami aplikacyjnymi (programming rights), co w praktyce oznacza pełne przejęcie instancji XWiki, dostęp do poufnych danych, modyfikację treści wiki oraz potencjalne naruszenie integralności i dostępności systemu.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 15.10.9 lub 16.3.0. Jako obejście można wyłączyć aplikację Extension Repository Application, jeśli nie jest używana. Możliwe jest również ręczne zastosowanie poprawek z commitu 8659f17d500522bf33595e402391592a35a162e8 na stronach ExtensionCode.ExtensionSheet oraz ExtensionCode.ExtensionAuthorsDisplayer.

Kogo dotyczy

XWiki Platform w wersjach od 3.3-milestone-1 do 15.10.8 oraz od 16.0.0 do 16.2.x, z zainstalowaną aplikacją Extension Repository Application

Uwagi

Podatność można zneutralizować bez aktualizacji przez wyłączenie aplikacji Extension Repository Application — jest ona opcjonalna i nie jest wymagana do działania platformy XWiki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    3.3 – 15.10.9 (bez)16.0.0 – 16.3.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra