PT-2021-14461 · Xwiki · Xwiki Platform
Thomas Mortagne
·
Publicado
2021-03-12
·
Atualizado
2021-03-23
·
CVE-2021-21379
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões da plataforma XWiki anteriores à 11.10.11
Versões da plataforma XWiki anteriores à 12.6.3
Versões da plataforma XWiki anteriores à 12.8-rc-1
Descrição
O
{{wikimacrocontent}} executa o conteúdo com os direitos do autor da macro wiki, em vez dos direitos de quem a chamou. Isso possibilita a injeção de scripts por meio dela, e estes serão executados com os direitos da macro wiki, geralmente um usuário com direitos de programação. Não existe tal macro por padrão no XWiki Standard, mas ela pode ter sido criada ou instalada com uma extensão.Recomendações
Para versões anteriores à 11.10.11, atualize para a versão 11.10.11 ou posterior.
Para versões anteriores à 12.6.3, atualize para a versão 12.6.3 ou posterior.
Para versões anteriores à 12.8-rc-1, atualize para a versão 12.8-rc-1 ou posterior.
Como solução temporária, considere desativar as macros afetadas até que um patch esteja disponível.
Correção
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform