PT-2024-5617 · Xwiki · Xwiki Platform
Pierre Jeanjean
·
Publicado
2024-07-31
·
Atualizado
2024-09-06
·
CVE-2024-37898
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões da XWiki Platform anteriores à 14.10.21
Versões da XWiki Platform anteriores à 15.5.5
Versões da XWiki Platform anteriores à 15.10.6
Descrição
O problema está relacionado à falta de autorização na Plataforma XWiki, permitindo que um invasor remoto possa executar código arbitrário. Quando um usuário tem direitos de visualização, mas não de edição em uma página, ele pode excluir a página e substituí-la por um novo conteúdo sem ter direitos de exclusão. A versão anterior da página é movida para a lixeira e pode ser restaurada por um administrador. No entanto, não parece possível explorar isso para obter quaisquer direitos.
Recomendações
Para versões anteriores à 14.10.21, atualize para a versão 14.10.21 ou posterior.
Para versões anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior.
Para versões anteriores à 15.10.6, atualize para a versão 15.10.6 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform