PT-2022-16128 · Xwiki · Xwiki Platform
Denis Gervalle
·
Publicado
2022-02-09
·
Atualizado
2022-02-16
·
CVE-2022-23615
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões da XWiki Platform anteriores à 13.0
Descrição
O problema afeta a XWiki Platform, uma plataforma wiki genérica que oferece serviços de tempo de execução para aplicativos desenvolvidos com base nela. Nas versões afetadas, qualquer usuário com permissão SCRIPT pode salvar um documento com os direitos do usuário atual, permitindo o acesso à API que requer permissão de programação, caso o usuário atual possua essa permissão.
Recomendações
Para versões anteriores à 13.0, atualize para o XWiki 13.0 para resolver o problema.
Como solução alternativa temporária, considere limitar o acesso SCRIPT apenas a usuários confiáveis.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform