PT-2021-19889 · Xwiki · Xwiki Platform
Simon Urli
·
Publicado
2021-07-01
·
Atualizado
2022-07-02
·
CVE-2021-32729
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões da Plataforma XWiki anteriores à 12.6.8
Versões da Plataforma XWiki anteriores à 12.10.4
Versões da Plataforma XWiki anteriores à 13.0
Descrição
Existe uma vulnerabilidade na Plataforma XWiki em que o método de serviço de script usado para redefinir o registro de falhas de autenticação pode ser executado por qualquer usuário com direitos de Script, sem a necessidade de direitos de Programação. Isso permite que um invasor com direitos de script realize potencialmente um ataque de força bruta ao redefinir o registro de falhas de autenticação, desativando efetivamente o mecanismo destinado a mitigar tais ataques.
Recomendações
Para versões anteriores à 12.6.8, atualize para a versão 12.6.8 ou posterior.
Para versões anteriores à 12.10.4, atualize para a versão 12.10.4 ou posterior.
Para versões anteriores à 13.0, atualize para a versão 13.0 ou posterior.
Como solução alternativa temporária, considere restringir o acesso de direitos de script a usuários confiáveis para minimizar o risco de exploração. Monitore os logs em busca de sinais de ataques de força bruta na autenticação, já que as falhas de autenticação são registradas.
Correção
Improper Authentication
Protection Mechanism Failure
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform