Podatność w XWiki Platform umożliwia użytkownikowi bez uprawnień Script lub Programming stworzenie URL-a prowadzącego do strony z dowolnym kodem JavaScript. Atak wymaga socjotechniki, jednak jego skutki są krytyczne — możliwe przejęcie kontroli nad sesją ofiary i danymi.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. It is possible for a user without Script or Programming rights to craft a URL pointing to a page with arbitrary JavaScript. This requires social engineer to trick a user to follow the URL. This has been patched in XWiki 14.10.21, 15.5.5, 15.10.6 and 16.0.0.
Atakujący bez specjalnych uprawnień tworzy spreparowany URL wskazujący na stronę XWiki zawierającą arbitralny kod JavaScript (XSS). Następnie, stosując techniki inżynierii społecznej, nakłania uwierzytelnionego użytkownika do kliknięcia w ten link. Po otwarciu strony przeglądarka ofiary wykonuje złośliwy skrypt w kontekście aplikacji XWiki, co może prowadzić do kradzieży sesji, modyfikacji treści lub dalszego rozprzestrzeniania ataku.
Atakujący może uzyskać dostęp do poufnych danych sesji ofiary, modyfikować zawartość wiki lub wykonywać działania w imieniu zaatakowanego użytkownika. Ze względu na ocenę CVSS 9.0 i zakres wpływu obejmujący poufność, integralność oraz dostępność, skutki mogą być bardzo poważne.
Należy zaktualizować XWiki Platform do wersji 14.10.21, 15.5.5, 15.10.6 lub 16.0.0, w których podatność została usunięta. Dodatkowo zaleca się edukację użytkowników w zakresie rozpoznawania podejrzanych linków i technik phishingowych.
XWiki Platform w wersjach wcześniejszych niż 14.10.21, 15.5.5, 15.10.6 oraz 16.0.0
Podatność opisana i opublikowana w ramach GitHub Security Advisories (GHSA-wcg9-pgqv-xm5v) oraz śledzona w systemie JIRA projektu XWiki pod numerem XWIKI-21810. Poprawka dostępna w repozytorium GitHub projektu.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:HXwiki
APPXwiki< 14.10.2115.0 – 15.5.5 (bez)15.6 – 15.10.6 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra