PT-2022-26161 · Xwiki · Xwiki-Platform-User-Profile-Ui
Michael Hamann
·
Publicado
2022-11-21
·
Atualizado
2022-11-30
·
CVE-2022-41930
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do xwiki-platform-user-profile-ui anteriores à 13.10.7
Versões do xwiki-platform-user-profile-ui anteriores à 14.4.2
Versões do xwiki-platform-user-profile-ui anteriores à 14.5RC1
Descrição
O problema está relacionado à falta de autorização no xwiki-platform-user-profile-ui, permitindo que qualquer usuário com acesso à página XWiki.XWikiUserProfileSheet habilite ou desabilite qualquer perfil de usuário. Isso poderia permitir que um usuário desabilitado se reabilitasse ou que um invasor desabilitasse qualquer usuário do wiki.
Recomendações
Para versões anteriores à 13.10.7, atualize para a versão 13.10.7 ou posterior.
Para versões anteriores à 14.4.2, atualize para a versão 14.4.2 ou posterior.
Para versões anteriores à 14.5RC1, atualize para a versão 14.5RC1 ou posterior.
Como solução alternativa temporária, considere editar a página
XWiki.XWikiUserProfileSheet no wiki e aplicar as alterações contidas no commit fornecido.Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki-Platform-User-Profile-Ui