PT-2022-26157 · Xwiki · Xwiki Platform
Surlip
·
Publicado
2022-11-21
·
Atualizado
2022-11-30
·
CVE-2022-41927
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões da Plataforma XWiki anteriores à 13.10.7
Versões da Plataforma XWiki anteriores à 14.4.1
Versões da Plataforma XWiki anteriores à 14.5RC1
Descrição
A Plataforma XWiki está suscetível a ataques de falsificação de solicitação entre sites (CSRF), o que pode permitir que invasores excluam ou renomeiem tags sem a necessidade de qualquer confirmação. Essa vulnerabilidade pode ser explorada por meio de uma simples solicitação.
Recomendações
Para versões anteriores à 13.10.7, atualize para a versão 13.10.7 ou posterior.
Para versões anteriores à 14.4.1, atualize para a versão 14.4.1 ou posterior.
Para versões anteriores à 14.5RC1, atualize para a versão 14.5RC1 ou posterior.
Como solução temporária, considere corrigir as instâncias existentes diretamente, editando a página Main.Tags e adicionando uma verificação para validar o
form token usando a condição #if (!$services.csrf.isTokenValid($request.get(‘form token’))), e retorne um erro se o token for inválido.Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform