CRITICAL🇬🇧 English

CVE-2023-50721

XWiki Platform — RCE przez brak escapowania w interfejsie wyszukiwania

CVSS 9.9v3.1pub. 2023-12-15upd. 2024-11-21

XWiki Platform zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez interfejs administracyjny wyszukiwania, który nie escapuje poprawnie identyfikatorów i etykiet rozszerzeń UI. Zagrożenie jest krytyczne, ponieważ może być wykorzystane przez dowolnego zalogowanego użytkownika i kompromituje całą instancję XWiki.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform. Starting in 4.5-rc-1 and prior to versions 14.10.15, 15.5.2, and 15.7-rc-1, the search administration interface doesn't properly escape the id and label of search user interface extensions, allowing the injection of XWiki syntax containing script macros including Groovy macros that allow remote code execution, impacting the confidentiality, integrity and availability of the whole XWiki instance. This attack can be executed by any user who can edit some wiki page like the user's profile (editable by default) as user interface extensions that will be displayed in the search administration can be added on any document by any user. The necessary escaping has been added in XWiki 14.10.15, 15.5.2 and 15.7RC1. As a workaround, the patch can be applied manually applied to the page `XWiki.SearchAdmin`.

🤖 Analiza AI
Jak działa

Interfejs administracyjny wyszukiwania (`XWiki.SearchAdmin`) nie stosuje właściwego escapowania dla pól `id` i `label` rozszerzeń interfejsu użytkownika (UI extensions). Atakujący może wstrzyknąć do tych pól składnię XWiki zawierającą makra skryptowe, w tym makra Groovy wykonywane po stronie serwera. Ponieważ rozszerzenia UI można dodawać do dowolnego dokumentu (np. profilu użytkownika, edytowalnego domyślnie), atak nie wymaga żadnych podwyższonych uprawnień — wystarczy posiadanie konta z prawem edycji stron wiki.

Skutki

Atakujący może uzyskać pełne zdalne wykonanie kodu (RCE) na serwerze hostującym instancję XWiki, co bezpośrednio narusza poufność, integralność oraz dostępność całej platformy.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 14.10.15, 15.5.2 lub 15.7-rc-1 (albo nowszej). Jeśli aktualizacja nie jest możliwa, można ręcznie zastosować poprawkę (patch) bezpośrednio na stronie `XWiki.SearchAdmin` zgodnie z committem dostępnym w referencjach producenta.

Kogo dotyczy

XWiki Platform w wersjach od 4.5-rc-1 do 14.10.14 włącznie oraz od 15.0 do 15.5.1 włącznie (przed 14.10.15, 15.5.2 i 15.7-rc-1)

Uwagi

Producent udostępnia obejście (workaround) polegające na ręcznym zastosowaniu patcha na stronie XWiki.SearchAdmin, co umożliwia mitygację bez pełnej aktualizacji platformy.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    15.615.74.5 – 14.10.5 (bez)15.0 – 15.5.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra