PT-2022-10092 · Xwiki · Xwiki
Simon Urli
·
Publicado
2022-02-04
·
Atualizado
2022-02-10
·
CVE-2021-32732
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do XWiki anteriores à 12.10.5
Versões do XWiki anteriores à 13.2RC1
Descrição
É possível determinar se um usuário possui uma conta em um wiki associada a um endereço de e-mail e quais nomes de usuário estão vinculados a esse e-mail, falsificando uma solicitação na página “Esqueci meu nome de usuário”. Isso se deve à falta de uma verificação CSRF nessa página, facilitando a realização de múltiplas solicitações.
Recomendações
Para versões anteriores à 12.10.5, atualize para a versão 12.10.5 ou posterior.
Para versões anteriores à 13.2RC1, atualize para a versão 13.2RC1 ou posterior.
Como solução alternativa temporária para versões anteriores à 13.x, edite a página ForgotUsername para usar o código fornecido.
Para versões posteriores à 13.x, considere editar o arquivo forgotusername.vm manualmente, mas recomenda-se atualizar a versão.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki