Podatność w XWiki Platform umożliwia każdemu zalogowanemu użytkownikowi wykonanie dowolnego kodu zdalnego (RCE) poprzez dodanie instancji klasy `XWiki.WikiMacroClass` do dowolnej strony. Zagrożona jest poufność, integralność i dostępność całej instalacji XWiki.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform. Starting in version 9.7-rc-1 and prior to versions 15.10.11, 16.4.1, and 16.5.0, any user with an account can perform arbitrary remote code execution by adding instances of `XWiki.WikiMacroClass` to any page. This compromises the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been fixed in XWiki 15.10.11, 16.4.1 and 16.5.0. It is possible to manually apply the patch to the page `XWiki.XWikiSyntaxMacrosList` as a workaround.
Mechanizm tworzenia makr wiki (WikiMacroClass) nie wymaga uprawnień administratora — wystarczy posiadanie zwykłego konta użytkownika. Atakujący może dodać odpowiednio spreparowaną instancję `XWiki.WikiMacroClass` na dowolnej stronie, co prowadzi do wykonania arbitralnego kodu po stronie serwera. Podatność klasyfikowana jest jako indirect script injection (CWE-96) oraz code injection (CWE-94), a jej zakres wykracza poza kontekst pojedynczego komponentu (CVSS Scope: Changed).
Atakujący z dowolnym kontem użytkownika może przejąć pełną kontrolę nad instancją XWiki, uzyskując nieautoryzowany dostęp do danych, możliwość ich modyfikacji oraz zakłócenia działania platformy.
Należy zaktualizować XWiki Platform do wersji 15.10.11, 16.4.1 lub 16.5.0. Jako obejście (workaround) możliwe jest ręczne zastosowanie patcha na stronie `XWiki.XWikiSyntaxMacrosList` zgodnie z instrukcją w referencjach producenta.
XWiki Platform w wersjach od 9.7-rc-1 do 15.10.10 włącznie, a także wersje z gałęzi 16.x przed 16.4.1 i 16.5.0
Producent udostępnił workaround polegający na ręcznym zastosowaniu poprawki na stronie XWiki.XWikiSyntaxMacrosList, co pozwala na mitygację bez natychmiastowej aktualizacji całej platformy.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki16.5.09.7 – 15.10.11 (bez)16.0.0 – 16.4.1 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra