PT-2020-14316 · Xwiki · Xwiki
Thomas Mortagne
·
Publicado
2020-10-16
·
Atualizado
2021-11-18
·
CVE-2020-15252
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do XWiki anteriores à 12.5
Versões do XWiki anteriores à 11.10.6
Descrição
A vulnerabilidade permite que qualquer usuário com permissão SCRIPT (permissão EDIT antes do XWiki 7.4) obtenha acesso ao contexto Servlet do servidor de aplicativos. Esse acesso contém ferramentas que permitem a instanciação de objetos Java arbitrários e a invocação de métodos, podendo levar à execução de código arbitrário.
Recomendações
Para versões anteriores à 12.5, atualize para a versão 12.5 ou posterior.
Para versões anteriores à 11.10.6, atualize para a versão 11.10.6 ou posterior.
Como solução alternativa temporária, considere conceder o direito SCRIPT apenas a usuários confiáveis.
Exploit
Correção
Code Injection
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki