PT-2024-27818 · Xwiki · Xwiki Platform
Michael Hamann
·
Publicado
2024-07-31
·
Atualizado
2024-09-06
·
CVE-2024-37901
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da plataforma XWiki anteriores à 14.10.21
Versões da plataforma XWiki anteriores à 15.5.5
Versões da plataforma XWiki anteriores à 15.10.2
Descrição
A vulnerabilidade permite que qualquer usuário com direitos de edição em qualquer página execute código remoto arbitrário ao adicionar instâncias de
XWiki.SearchSuggestConfig e XWiki.SearchSuggestSourceClass ao seu perfil de usuário ou a qualquer outra página. Isso compromete a confidencialidade, integridade e disponibilidade de toda a instalação do XWiki.Recomendações
Para versões da Plataforma XWiki anteriores à 14.10.21, atualize para a versão 14.10.21 ou posterior.
Para versões da Plataforma XWiki anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior.
Para versões da Plataforma XWiki anteriores à 15.10.2, atualize para a versão 15.10.2 ou posterior.
Como solução temporária, considere restringir a capacidade de adicionar instâncias de
XWiki.SearchSuggestConfig e XWiki.SearchSuggestSourceClass aos perfis de usuário ou páginas até que um patch seja aplicado.Exploit
Correção
RCE
Code Injection
Missing Authorization
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform