Podatność w XWiki Platform umożliwia każdemu użytkownikowi z prawem edycji dowolnej strony wykonanie arbitralnego kodu na serwerze. Zagrożenie jest krytyczne, gdyż kompromituje poufność, integralność i dostępność całej instalacji XWiki.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform. Starting in version 5.0-rc-1 and prior to versions 14.10.20, 15.5.4, and 15.9-rc-1, any user with edit right on any page can execute any code on the server by adding an object of type `XWiki.SearchSuggestSourceClass` to their user profile or any other page. This compromises the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.20, 15.5.4 and 15.10 RC1. As a workaround, manually apply the patch to the document `XWiki.SearchSuggestSourceSheet`.
Atakujący posiadający prawo edycji dowolnej strony może dodać obiekt typu `XWiki.SearchSuggestSourceClass` do swojego profilu użytkownika lub innej strony. Podczas przetwarzania tego obiektu platforma ewaluuje jego zawartość jako kod po stronie serwera (CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code, CWE-94: Code Injection), bez odpowiedniej weryfikacji uprawnień. W efekcie dowolny niskoprzywilejowany użytkownik może wstrzyknąć i wykonać payload na serwerze.
Atakujący uzyskuje możliwość wykonania dowolnego kodu na serwerze (RCE), co prowadzi do pełnego przejęcia kontroli nad instalacją XWiki — naruszenia poufności, integralności oraz dostępności wszystkich danych i funkcji platformy.
Należy zaktualizować XWiki Platform do wersji 14.10.20, 15.5.4 lub 15.10 RC1. Jeśli aktualizacja nie jest możliwa, jako obejście (workaround) należy ręcznie zastosować patch do dokumentu `XWiki.SearchSuggestSourceSheet` zgodnie z instrukcją w referencjach producenta.
XWiki Platform w wersjach od 5.0-rc-1 do (z wyłączeniem) 14.10.20, 15.5.4 oraz 15.9-rc-1
Podatność istnieje od wersji 5.0-rc-1, co oznacza bardzo długi okres ekspozycji. Producent udostępnił workaround w postaci ręcznej modyfikacji dokumentu XWiki.SearchSuggestSourceSheet dla instalacji, które nie mogą zostać natychmiast zaktualizowane.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki5.25.3 – 14.10.20 (bez)15.0 – 15.5.4 (bez)15.6 – 15.10 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra