CRITICAL🇬🇧 English

CVE-2024-21650

XWiki Platform — RCE przez formularz rejestracji użytkownika

CVSS 10.0v3.1pub. 2024-01-08upd. 2024-11-21

XWiki Platform jest podatna na zdalne wykonanie kodu (RCE) poprzez funkcję rejestracji użytkownika. Atakujący może wykonać dowolny kod bez uwierzytelnienia, co przy maksymalnym wyniku CVSS 10.0 czyni tę podatność ekstremalnie niebezpieczną.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki is vulnerable to a remote code execution (RCE) attack through its user registration feature. This issue allows an attacker to execute arbitrary code by crafting malicious payloads in the "first name" or "last name" fields during user registration. This impacts all installations that have user registration enabled for guests. This vulnerability has been patched in XWiki 14.10.17, 15.5.3 and 15.8 RC1.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi danych wejściowych (CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code, CWE-94: Improper Control of Code Generation). Atakujący umieszcza złośliwy payload w polach 'first name' lub 'last name' podczas rejestracji nowego konta użytkownika. Platforma przetwarza te dane w sposób umożliwiający interpretację osadzonego kodu, co prowadzi do jego wykonania w kontekście serwera. Do przeprowadzenia ataku nie są wymagane żadne uprawnienia ani interakcja ze strony użytkownika.

Skutki

Atakujący może wykonać dowolny kod na serwerze hostującym XWiki, co potencjalnie prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych, modyfikacji treści wiki oraz lateral movement w sieci wewnętrznej.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 14.10.17, 15.5.3 lub 15.8 RC1 (albo nowszych). Jeśli natychmiastowa aktualizacja nie jest możliwa, należy tymczasowo wyłączyć funkcję rejestracji użytkowników dla gości do czasu zastosowania patcha.

Kogo dotyczy

Wszystkie instalacje XWiki Platform z włączoną rejestracją użytkowników dla gości (guests), działające na wersjach wcześniejszych niż 14.10.17, 15.5.3 oraz 15.8 RC1.

Uwagi

Podatność dotyczy wyłącznie instalacji z włączoną opcją rejestracji dla niezalogowanych użytkowników (guests). Wyłączenie tej funkcji stanowi skuteczny środek zaradczy do czasu aktualizacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    < 14.10.1715.0 – 15.5.3 (bez)15.6 – 15.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra