PT-2024-36576 · Unknown · Xwiki Platform
Michael Hamann
·
Publicado
2024-12-12
·
Atualizado
2024-12-13
·
CVE-2024-55662
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da XWiki Platform de 3.3-milestone-1 a 15.10.8
Versões da XWiki Platform de 3.3-milestone-1 a 16.2.x
Descrição
A Plataforma XWiki é uma plataforma wiki genérica. Em instâncias nas quais o
Extension Repository Application está instalado, qualquer usuário pode executar qualquer código que exija direitos de programação no servidor. Este problema foi corrigido nas versões XWiki 15.10.9 e 16.3.0. Como o Extension Repository Application não é obrigatório, ele pode ser desativado com segurança em instâncias que não o utilizam como solução alternativa. Também é possível aplicar manualmente os patches do commit 8659f17d500522bf33595e402391592a35a162e8 à página ExtensionCode.ExtensionSheet e à página ExtensionCode.ExtensionAuthorsDisplayer.Recomendações
Para as versões da XWiki Platform 3.3-milestone-1 a 15.10.8, atualize para a versão 15.10.9 ou posterior.
Para as versões da XWiki Platform 3.3-milestone-1 a 16.2.x, atualize para a versão 16.3.0 ou posterior.
Como solução alternativa temporária, considere desativar o
Extension Repository Application em instâncias que não o utilizam.Restrinja o acesso às páginas
ExtensionCode.ExtensionSheet e ExtensionCode.ExtensionAuthorsDisplayer para minimizar o risco de exploração.Aplique manualmente os patches do commit 8659f17d500522bf33595e402391592a35a162e8 à página
ExtensionCode.ExtensionSheet e à página ExtensionCode.ExtensionAuthorsDisplayer como solução alternativa.Exploit
Correção
Code Injection
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform