PT-2022-24946 · Xwiki · Xwiki Oidc
Clément Aubin
·
Publicado
2022-11-04
·
Atualizado
2022-11-07
·
CVE-2022-39387
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do XWiki OIDC anteriores à 1.29.1
Descrição
A vulnerabilidade permite que um invasor contorne a autenticação do XWiki especificando seu próprio provedor OpenID por meio de parâmetros de solicitação, como
oidc.endpoint.*, ou utilizando um provedor OpenID baseado no XWiki com oidc.xwikiprovider. Além disso, um invasor pode fornecer um mapeamento de grupo específico por meio de oidc.groups.mapping para se tornar automaticamente parte do XWikiAdminGroup.Recomendações
Para versões anteriores à 1.29.1, atualize para a versão 1.29.1 para resolver o problema. Não há solução alternativa, e é necessária uma atualização do autenticador.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Oidc