PT-2024-30560 · Xwiki · Xwiki Platform
Michael Hamann
·
Publicado
2024-08-19
·
Atualizado
2024-08-23
·
CVE-2024-43401
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do software vulnerável e versões afetadas
Versões da plataforma XWiki anteriores à 15.10RC1
Descrição
Um usuário sem direitos de script ou programação pode induzir um usuário com direitos elevados a editar conteúdo com uma carga maliciosa usando um editor WYSIWYG. O usuário com direitos elevados não é avisado previamente de que irá editar conteúdo potencialmente perigoso. A carga maliciosa é executada no momento da edição.
Recomendações
Para versões anteriores à 15.10RC1, atualize para o XWiki 15.10RC1 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o uso de editores WYSIWYG para usuários com direitos elevados até que a correção seja aplicada.
Exploit
Correção
Missing Authorization
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform