CVE-2023-50719
XWiki Platform Solr search discloses password hashes of all users
Em resumo
A busca do XWiki expõe os hashes de senha de todos os usuários nos resultados. Como os perfis são públicos por padrão, qualquer pessoa pode visualizar essas informações sensíveis.
Detalhe técnico
A funcionalidade de busca baseada em Solr do XWiki Platform falha em filtrar campos sensíveis (CWE-200: Exposição de Informação Sensível) dos índices de busca, permitindo que usuários com poucos privilégios ou não autenticados recuperem hashes de senha e chaves de API através de consultas de busca padrão. Versões afetadas de 7.2-milestone-2 até 15.7-rc-1 carecem de controles de acesso apropriados em dados sensíveis indexados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
XWiki Platform is a generic wiki platform. Starting in 7.2-milestone-2 and prior to versions 14.10.15, 15.5.2, and 15.7-rc-1, the Solr-based search in XWiki discloses the password hashes of all users to anyone with view right on the respective user profiles. By default, all user profiles are public. This vulnerability also affects any configurations used by extensions that contain passwords like API keys that are viewable for the attacker. Normally, such passwords aren't accessible but this vulnerability would disclose them as plain text. This has been patched in XWiki 14.10.15, 15.5.2 and 15.7RC1. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
xwiki · xwiki-platformQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →