PT-2024-24337 · Unknown · Xwiki Platform
Pierre Jeanjean
·
Publicado
2024-04-10
·
Atualizado
2025-01-21
·
CVE-2024-31987
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da Plataforma XWiki de 6.4-milestone-1 a 4.10.18
Versões da Plataforma XWiki anteriores à 15.5.4
Versões da Plataforma XWiki anteriores à 15.10-rc-1
Descrição
A Plataforma XWiki está afetada por uma vulnerabilidade de execução remota de código. Essa vulnerabilidade decorre da possibilidade de qualquer usuário com permissão para editar uma página criar um tema personalizado com uma substituição de modelo que seja executada com direitos de programação. Qualquer usuário com permissão para editar qualquer página, como seu perfil, pode criar um tema personalizado com uma substituição de modelo que seja executada com direitos de programação, permitindo assim a execução remota de código.
Recomendações
Para as versões da Plataforma XWiki de 6.4-milestone-1 a 4.10.18, atualize para a versão 4.10.19 ou posterior.
Para as versões da Plataforma XWiki anteriores à 15.5.4, atualize para a versão 15.5.4 ou posterior.
Para versões da XWiki Platform anteriores à 15.10-rc-1, atualize para a versão 15.10-rc-1 ou posterior.
Como solução temporária, considere restringir a capacidade de editar páginas e criar skins personalizadas até que um patch seja aplicado.
Exploit
Correção
RCE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform