PT-2021-14462 · Xwiki · Ratings Api+1
Simon Urli
·
Publicado
2021-03-23
·
Atualizado
2021-03-24
·
CVE-2021-21380
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da Plataforma XWiki anteriores à 12.9RC1
Descrição
A Plataforma XWiki, especificamente quando a API de Avaliações está instalada, expõe uma API que permite a execução de consultas SQL sem escapar adequadamente os argumentos de pesquisa
from e where. Isso pode levar à injeção de scripts SQL para usuários com direitos de script no XWiki.Recomendações
Para versões anteriores à 12.9RC1, atualize para o XWiki 12.9RC1 para resolver o problema.
Como solução temporária, considere desinstalar a API de Avaliações no XWiki a partir do Gerenciador de Extensões até que um patch seja aplicado.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ratings Api
Xwiki Platform