Vulnerabilidad en XWiki Platform (CVE-2023-45135)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/10/2023
Última modificación:
02/11/2023
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. En `org.xwiki.platform:xwiki-platform-web` versiones 7.2-milestone-2 hasta 14.10.12 y `org.xwiki.platform:xwiki-platform-web-templates` anteriores a las versiones 14.10.12 y 15.5-rc -1, es posible pasar un título a la acción de creación de página que no se muestra al principio pero que luego se ejecuta en el segundo paso. Un atacante puede utilizar esto para engañar a una víctima para que ejecute código, permitiendo la ejecución de scripts si la víctima tiene derechos de ejecución de scripts o de código remoto, incluido el acceso completo a la instancia de XWiki si la víctima tiene derechos de programación. Para que el ataque funcione, el atacante debe convencer a la víctima de que visite un enlace como `/xwiki/bin/create/NonExistingSpace/WebHome?title=$services.logging.getLogger(%22foo%22).error(%22Script%20executed!%22)` donde `` es la URL de la instalación Wiki y luego haga clic en el botón "Crear" en esa página. La página parece una página XWiki normal que la víctima también vería al hacer clic en el botón para crear una página que aún no existe; el código malicioso no se muestra en ninguna parte de esa página. Después de hacer clic en el botón "Crear", se mostrará el título malicioso, pero en este punto el código ya se ha ejecutado y el atacante podría utilizar este código también para ocultar el ataque, por ejemplo, redirigiendo a la víctima nuevamente a la misma página con Un título inocente. Por lo tanto, parece plausible que este ataque pueda funcionar si el atacante puede colocar un botón falso de "crear página" en una página que sea posible con derecho de edición. Esto se ha parcheado en `org.xwiki.platform:xwiki-platform-web` versión 14.10.12 y `org.xwiki.platform:xwiki-platform-web-templates` versiones 14.10.12 y 15.5-rc-1 mostrando el título ya en el primer paso para que la víctima pueda notar el ataque antes de continuar. Es posible parchear manualmente los archivos modificados desde el parche en una instalación existente. Para el cambio de JavaScript, el archivo JavaScript minimizado deberá obtenerse de una compilación de XWiki y reemplazarse en consecuencia.
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 7.3 (incluyendo) | 14.10.12 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.5 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:7.2:milestone2:*:*:*:*:*:* | ||
cpe:2.3:a:xwiki:xwiki:7.2:milestone3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página