CRITICAL🇬🇧 English

CVE-2024-41947

XWiki Platform — XSS przez konflikt edycji strony (CVE-2024-41947)

CVSS 9.0v3.1pub. 2024-07-31upd. 2024-09-06

Podatność typu XSS w XWiki Platform umożliwia wykonanie dowolnego kodu JavaScript w przeglądarce użytkownika o wyższych uprawnieniach podczas edycji strony. Skuteczne wykorzystanie kompromituje poufność, integralność i dostępność całej instalacji XWiki.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. By creating a conflict when another user with more rights is currently editing a page, it is possible to execute JavaScript snippets on the side of the other user, which compromises the confidentiality, integrity and availability of the whole XWiki installation. This has been patched in XWiki 15.10.8 and 16.3.0RC1.

🤖 Analiza AI
Jak działa

Atakujący celowo wywołuje konflikt edycji w momencie, gdy inny użytkownik posiadający wyższe uprawnienia równocześnie edytuje tę samą stronę. W wyniku obsługi tego konfliktu złośliwy fragment JavaScript zostaje wstrzyknięty i wykonany po stronie uprzywilejowanego użytkownika (CWE-79, CWE-80). Atak wymaga interakcji ofiary, lecz nie wymaga wysokich uprawnień po stronie atakującego — wystarczy dostęp do edycji strony.

Skutki

Atakujący może przejąć kontrolę nad sesją uprzywilejowanego użytkownika, zmodyfikować treści wiki oraz potencjalnie uzyskać pełną kontrolę nad instalacją XWiki, naruszając jej poufność, integralność i dostępność.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 15.10.8 lub 16.3.0RC1 (lub nowszych). Patche dostępne są w repozytorium GitHub projektu (commity: 821d43ec45e67d45a6735a0717b9b77fffc1cd9f oraz e00e159d3737397eebd1f6ff925c1f5cb7cdec34).

Kogo dotyczy

XWiki Platform w wersjach wcześniejszych niż 15.10.8 oraz wcześniejszych niż 16.3.0RC1

Uwagi

Podatność została zgłoszona i śledzona również w systemie Jira projektu XWiki pod numerem XWIKI-21626.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    11.8 – 15.10.8 (bez)16.0 – 16.3.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra