CVE-2023-35150
XWiki Platform vulnerable to privilege escalation (PR) from view right via Invitation application
Em resumo
Uma falha no aplicativo de Convites do XWiki permite que qualquer usuário com permissão de visualização execute código com privilégios de administrador ao criar uma URL maliciosa, podendo comprometer todo o sistema.
Detalhe técnico
Vulnerabilidade de CWE-95 (Neutralização Inadequada de Diretivas em Código Dinamicamente Avaliado) no aplicativo Invitation do XWiki permite escalação de privilégio de direitos de visualização para direitos de programação. Um atacante autenticado pode construir uma URL especialmente formatada para injetar e executar código arbitrário com privilégios elevados, alcançando execução remota de código. Versões afetadas: 2.40m-2 até 14.4.7, 14.10.3 e anteriores à 15.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting in version 2.40m-2 and prior to versions 14.4.8, 14.10.4, and 15.0, any user with view rights on any document can execute code with programming rights, leading to remote code execution by crafting an url with a dangerous payload. The problem has been patched in XWiki 15.0, 14.10.4 and 14.4.8.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Produtos afetados
xwiki · xwiki-platformQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →