Każdy użytkownik posiadający prawo edycji dowolnej strony w XWiki Platform może wykonać dowolny zdalny kod (RCE) poprzez dodanie instancji klas `XWiki.SearchSuggestConfig` i `XWiki.SearchSuggestSourceClass` do swojego profilu lub innej strony. Podatność zagraża poufności, integralności i dostępności całej instalacji XWiki.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user with edit right on any page can perform arbitrary remote code execution by adding instances of `XWiki.SearchSuggestConfig` and `XWiki.SearchSuggestSourceClass` to their user profile or any other page. This compromises the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.21, 15.5.5 and 15.10.2.
Podatność wynika z nieprawidłowej kontroli dostępu (CWE-862) oraz możliwości wstrzyknięcia i ewaluacji kodu (CWE-95, CWE-94). Użytkownik z prawem edycji może zdefiniować specjalnie spreparowane instancje obiektów klas `XWiki.SearchSuggestConfig` oraz `XWiki.SearchSuggestSourceClass` na dowolnej stronie wiki, w tym na własnym profilu. Platforma przetwarza te obiekty bez odpowiedniej weryfikacji uprawnień i izolacji, co prowadzi do wykonania osadzonego kodu w kontekście serwera.
Atakujący może przejąć pełną kontrolę nad instalacją XWiki, uzyskując dostęp do wszystkich danych, modyfikując zawartość wiki oraz powodując niedostępność usługi — co skutkuje całkowitym naruszeniem poufności, integralności i dostępności systemu.
Należy zaktualizować XWiki Platform do wersji 14.10.21, 15.5.5 lub 15.10.2, w których podatność została usunięta. Patche dostępne są w repozytorium GitHub projektu XWiki.
XWiki Platform we wszystkich wersjach przed 14.10.21, 15.5.5 oraz 15.10.2
Podatność wymaga jedynie posiadania prawa edycji dowolnej strony — nie są wymagane uprawnienia administracyjne, co znacząco zwiększa powierzchnię ataku w środowiskach z wieloma użytkownikami.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki9.2 – 14.10.21 (bez)15.0 – 15.5.5 (bez)15.6 – 15.10.2 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra