CVE-2024-31988

Versões da XWiki Platform de 13.9-rc-1 a 4.10.18

Versões da XWiki Platform de 13.9-rc-1 a 15.5.3

Versões da XWiki Platform de 13.9-rc-1 a 15.10-rc-1

A Plataforma XWiki é uma plataforma wiki genérica que permite a execução remota de código arbitrário por meio da interação de um usuário administrador com direitos de programação quando o editor em tempo real está instalado. Isso é feito fazendo com que um usuário administrador acesse uma URL maliciosa ou visualize uma imagem com essa URL, que pode estar em um comentário, permitindo que o invasor execute sintaxe XWiki arbitrária, incluindo macros de script com código Groovy ou Python. Isso compromete a confidencialidade, integridade e disponibilidade de toda a instalação do XWiki.

Para testar a vulnerabilidade, um administrador pode clicar em "/xwiki/bin/get/RTFrontend/ConvertHTML?wiki=xwiki&space=Main&page=WebHome&text=%7B% 7Bvelocity%7D%7D%24logtool.error%28%22Hello%20from%20Velocity%20%21%22%29%7B%7B%2Fvelocity%7D%7D“. Se o erro ”Hello from Velocity!" for registrado, a instalação está vulnerável.

Para as versões 13.9-rc-1 a 4.10.18 da XWiki Platform, atualize para a versão 4.10.19 ou posterior.

Para as versões 13.9-rc-1 a 15.5.3 da XWiki Platform, atualize para a versão 15.5.4 ou posterior.

Para as versões da XWiki Platform 13.9-rc-1 a 15.10-rc-1, atualize para a versão 15.10 ou posterior.

Como solução alternativa temporária, é possível atualizar RTFrontend.ConvertHTML manualmente com o patch, mas