CVE

Vulnerabilidad en XWiki Platform (CVE-2023-45135)

Severidad:

ALTA

Type:

No Disponible / Otro tipo

Fecha de publicación:

25/10/2023

Última modificación:

02/11/2023

Descripción

XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. En `org.xwiki.platform:xwiki-platform-web` versiones 7.2-milestone-2 hasta 14.10.12 y `org.xwiki.platform:xwiki-platform-web-templates` anteriores a las versiones 14.10.12 y 15.5-rc -1, es posible pasar un título a la acción de creación de página que no se muestra al principio pero que luego se ejecuta en el segundo paso. Un atacante puede utilizar esto para engañar a una víctima para que ejecute código, permitiendo la ejecución de scripts si la víctima tiene derechos de ejecución de scripts o de código remoto, incluido el acceso completo a la instancia de XWiki si la víctima tiene derechos de programación. Para que el ataque funcione, el atacante debe convencer a la víctima de que visite un enlace como `/xwiki/bin/create/NonExistingSpace/WebHome?title=$services.logging.getLogger(%22foo%22).error(%22Script%20executed!%22)` donde `` es la URL de la instalación Wiki y luego haga clic en el botón "Crear" en esa página. La página parece una página XWiki normal que la víctima también vería al hacer clic en el botón para crear una página que aún no existe; el código malicioso no se muestra en ninguna parte de esa página. Después de hacer clic en el botón "Crear", se mostrará el título malicioso, pero en este punto el código ya se ha ejecutado y el atacante podría utilizar este código también para ocultar el ataque, por ejemplo, redirigiendo a la víctima nuevamente a la misma página con Un título inocente. Por lo tanto, parece plausible que este ataque pueda funcionar si el atacante puede colocar un botón falso de "crear página" en una página que sea posible con derecho de edición. Esto se ha parcheado en `org.xwiki.platform:xwiki-platform-web` versión 14.10.12 y `org.xwiki.platform:xwiki-platform-web-templates` versiones 14.10.12 y 15.5-rc-1 mostrando el título ya en el primer paso para que la víctima pueda notar el ataque antes de continuar. Es posible parchear manualmente los archivos modificados desde el parche en una instalación existente. Para el cambio de JavaScript, el archivo JavaScript minimizado deberá obtenerse de una compilación de XWiki y reemplazarse en consecuencia.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.00 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.00

Severidad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:xwiki:xwiki::::::::	7.3 (incluyendo)	14.10.12 (excluyendo)
cpe:2.3:a:xwiki:xwiki::::::::	15.0 (incluyendo)	15.5 (excluyendo)
cpe:2.3:a:xwiki:xwiki:7.2:milestone2::::::
cpe:2.3:a:xwiki:xwiki:7.2:milestone3::::::