PT-2022-23180 · Xwiki · Xwiki
Thomas Mortagne
·
Publicado
2022-09-08
·
Atualizado
2022-09-16
·
CVE-2022-36090
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões antigas do XWiki Platform Core anteriores à 13.1.0.5 e à 14.3-rc-1
Descrição
O problema decorre da falta de verificações para usuários inativos no XWiki, incluindo o serviço REST, permitindo que um usuário desativado se reative usando uma chamada REST. Alguns manipuladores de recursos criados por extensões também não são protegidos por padrão, permitindo que usuários inativos realizem ações para tais extensões. Esse problema existe pelo menos desde a versão 1.1 do XWiki e é mais crítico para as versões 11.3-rc-1 e posteriores.
Recomendações
Para versões anteriores à 13.1.0.5 e 14.3-rc-1, atualize para o XWiki 13.10.5 ou XWiki 14.3-rc-1 para resolver o problema.
Como não há uma solução alternativa temporária disponível, a atualização do XWiki é a única solução para mitigar o risco.
Exploit
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki