PT-2022-16136 · Xwiki · Xwiki Platform
Simon Urli
·
Publicado
2022-02-09
·
Atualizado
2022-02-15
·
CVE-2022-23622
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões da Plataforma XWiki anteriores à 12.10.11
Versões da Plataforma XWiki anteriores à 13.4.7
Versões da Plataforma XWiki anteriores à 13.10.3
Versões da Plataforma XWiki anteriores à 14.0-rc-1
Descrição
O problema está relacionado a um vetor de cross-site scripting (XSS) no modelo
registerinline.vm, especificamente no campo oculto xredirect. Esse modelo é usado quando o wiki está aberto para registro por qualquer pessoa e fechado para visualização por usuários convidados, ou quando a página XWiki.Registration está restrita à visualização por usuários convidados. Os administradores podem obter a segunda condição marcando a caixa “Impedir que usuários não registrados visualizem páginas, independentemente dos direitos da página” nos direitos de administração.Recomendações
Para versões anteriores à 12.10.11, aplique um patch no modelo
registerinline.vm para verificar o valor do campo xredirect.Para versões anteriores à 13.4.7, aplique um patch no modelo
registerinline.vm para verificar o valor do campo xredirect.Para versões anteriores à 13.10.3, aplique um patch no modelo
registerinline.vm para verificar o valor do campo xredirect.Para versões anteriores à 14.0-rc-1, aplique um patch no modelo
registerinline.vm para verificar o valor do campo xredirect.Como solução temporária, certifique-se de que a opção “Impedir que usuários não registrados visualizem páginas, independentemente dos direitos da página” não esteja marcada nos direitos e aplique um esquema de direitos mais adequado usando grupos e direitos nos espaços.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform