CVE

Vulnerabilidad en XWiki (CVE-2023-37912)

Severidad:

ALTA

Type:

No Disponible / Otro tipo

Fecha de publicación:

25/10/2023

Última modificación:

31/10/2023

Descripción

XWiki Rendering es un sistema de renderizado genérico que convierte la entrada de texto en una sintaxis determinada en otra sintaxis. Antes de la versión 14.10.6 de `org.xwiki.platform:xwiki-core-rendering-macro-footnotes` y `org.xwiki.platform:xwiki-rendering-macro-footnotes` y antes de la versión 15.1-rc-1 de `org.xwiki.platform:xwiki-rendering-macro-footnotes`, la macro de nota al pie ejecutó su contenido en un contexto potencialmente diferente a aquel en el que se definió. En particular, en combinación con la macro de inclusión, esto permite escalar privilegios desde una simple cuenta de usuario en XWiki hasta derechos de programación y, por lo tanto, ejecución remota de código, lo que afecta la confidencialidad, integridad y disponibilidad de toda la instalación de XWiki. Esta vulnerabilidad ha sido parcheada en XWiki 14.10.6 y 15.1-rc-1. No existe otro workaround aparte de actualizar a una versión fija de la macro de notas al pie.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto