PT-2024-31694 · Unknown · Xwiki Platform
Xiqinger
·
Publicado
2024-09-10
·
Atualizado
2025-10-20
·
CVE-2024-45591
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do XWiki anteriores à 15.10.9
Versões do XWiki anteriores à 16.3.0RC1
Descrição
A plataforma XWiki, uma plataforma wiki genérica, apresenta uma falha em que sua API REST expõe o histórico de qualquer página caso um invasor conheça o nome da página. As informações expostas incluem a hora da modificação, o número da versão, o autor (nome de usuário e nome exibido) e o comentário da versão para cada modificação da página. Essa divulgação ocorre independentemente das configurações de permissão, mesmo em wikis totalmente privadas. A vulnerabilidade pode ser testada acessando o endpoint da API
/xwiki/rest/wikis/xwiki/spaces/Main/pages/WebHome/history. Se o histórico da página principal for exibido, a instalação está afetada.Recomendações
Para versões do XWiki anteriores à 15.10.9, atualize para a versão 15.10.9 ou posterior.
Para versões do XWiki anteriores à 16.3.0RC1, atualize para a versão 16.3.0RC1 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform