PT-2024-36598 · Xwiki · Xwiki Platform
Manuelleduc
·
Publicado
2024-12-12
·
Atualizado
2025-02-26
·
CVE-2024-55879
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plataforma XWiki, versões 2.3 a 15.10.8
Plataforma XWiki, versão 16.3.0 antes da correção
Descrição
A vulnerabilidade permite que qualquer usuário com direitos de script execute código remoto arbitrário ao adicionar instâncias de
XWiki.ConfigurableClass a qualquer página, comprometendo a confidencialidade, integridade e disponibilidade de toda a instalação do XWiki.Recomendações
Para as versões 2.3 a 15.10.8 da Plataforma XWiki, atualize para a versão 15.10.9.
Para as versões 16.3.0 da Plataforma XWiki anteriores ao patch, atualize para a versão 16.3.0 com o patch aplicado.
Como solução alternativa temporária, considere restringir o acesso à
XWiki.ConfigurableClass para minimizar o risco de exploração.Exploit
Correção
RCE
Missing Authorization
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki Platform