CVE-2023-29524
Code injection from account through XWiki.SchedulerJobSheet in xwiki-platform
Em resumo
Um usuário pode injetar e executar código malicioso em um servidor XWiki editando seu perfil e adicionando um objeto de tarefa agendada com código groovy, mesmo sem permissões de programação. Isso permite que atacantes executem comandos com privilégios do servidor.
Detalhe técnico
Vulnerabilidade de injeção de código na classe XWiki.SchedulerJobClass permite que usuários autenticados sem direitos de script/programação executem código Groovy arbitrário no servidor adicionando um objeto de tarefa malicioso através do editor de perfil; o código injetado é executado no contexto do servidor quando a página é visualizada, possibilitando comprometimento total da instância XWiki.
Resumo gerado e traduzido por IA a partir da descrição oficial.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. It's possible to execute anything with the right of the Scheduler Application sheet page. A user without script or programming rights, edit your user profile with the object editor and add a new object of type XWiki.SchedulerJobClass, In "Job Script", groovy code can be added and will be executed in the server context on viewing. This has been patched in XWiki 14.10.3 and 15.0 RC1. Users are advised to upgrade. There are no known workarounds for this issue.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
xwiki · xwiki-platformQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →