PT-2024-36596 · Xwiki · Xwiki Platform
Michael Hamann
·
Publicado
2024-12-12
·
Atualizado
2025-04-14
·
CVE-2024-55877
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da XWiki Platform de 9.7-rc-1 a 15.10.10
Versões da XWiki Platform de 16.4.0 a 16.4.0
Versões da XWiki Platform 16.5.0 e anteriores
Descrição
A Plataforma XWiki é uma plataforma wiki genérica. A partir da versão 9.7-rc-1 e até as versões 15.10.11, 16.4.1 e 16.5.0, qualquer usuário com uma conta pode executar código remoto arbitrário adicionando instâncias de
XWiki.WikiMacroClass a qualquer página. Isso compromete a confidencialidade, integridade e disponibilidade de toda a instalação do XWiki. A vulnerabilidade foi corrigida nas versões 15.10.11, 16.4.1 e 16.5.0 do XWiki.Recomendações
Para as versões 9.7-rc-1 a 15.10.10 da Plataforma XWiki, atualize para a versão 15.10.11 ou posterior.
Para as versões 16.4.0 da Plataforma XWiki, atualize para a versão 16.4.1 ou posterior.
Para as versões 16.5.0 e anteriores da Plataforma XWiki, atualize para a versão 16.5.0 ou posterior.
Como solução temporária, é possível aplicar manualmente o patch à página
XWiki.XWikiSyntaxMacrosList.Exploit
Correção
RCE
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform