CRITICAL🇬🇧 English

CVE-2024-52300

XSS w parametrze width makra PDF Viewer dla XWiki

CVSS 9.0v3.1pub. 2024-11-13upd. 2024-11-18

Makro PDF Viewer (macro-pdfviewer) dla XWiki zawiera podatność XSS wynikającą z braku odpowiedniego escapowania parametru width. Atakujący z uprawnieniami do edycji strony może wstrzyknąć złośliwy kod, który po odwiedzeniu strony przez administratora zagraża poufności, integralności i dostępności całej instalacji XWiki.

Pokaż oryginał (EN)

macro-pdfviewer is a PDF Viewer Macro for XWiki using Mozilla pdf.js. The width parameter of the PDF viewer macro isn't properly escaped, allowing XSS for any user who can edit a page. XSS can impact the confidentiality, integrity and availability of the whole XWiki installation when an admin visits the page with the malicious code. This is fixed in 2.5.6.

🤖 Analiza AI
Jak działa

Parametr width makra PDF Viewer nie jest prawidłowo escapowany przed wyświetleniem w przeglądarce, co umożliwia osadzenie dowolnego kodu JavaScript (XSS). Każdy użytkownik posiadający uprawnienia do edycji strony może wstrzyknąć złośliwy payload w wartość tego parametru. Atak wymaga interakcji użytkownika — konkretnie wizyty administratora na spreparowanej stronie, co klasyfikuje go jako stored XSS z eskalacją uprawnień. Ze względu na zakres działania skryptu w kontekście sesji administratora, możliwe jest przejęcie kontroli nad całą instalacją XWiki.

Skutki

Atakujący może naruszyć poufność, integralność i dostępność całej instalacji XWiki, wykonując dowolne działania w kontekście sesji administratora, który odwiedzi stronę ze złośliwym kodem.

Mitygacja

Należy zaktualizować makro macro-pdfviewer do wersji 2.5.6 lub nowszej, w której podatność została naprawiona.

Kogo dotyczy

Makro macro-pdfviewer (PDF Viewer Macro dla XWiki) — wersje poprzedzające 2.5.6.

Uwagi

Podatność dotyczy użytkowników z prawem edycji stron — nie jest wymagany dostęp administracyjny do wywołania ataku, natomiast pełny efekt (kompromitacja instalacji) wymaga interakcji administratora.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Xwiki Pdf Viewer Macro

    APP
    Xwiki
    < 2.5.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2024-52298HIGH7.5ten sam produkt

macro-pdfviewer is a PDF Viewer Macro for XWiki using Mozilla pdf.js. The PDF Viewer macro allows an attacker ...

CVE-2024-52299HIGH7.5ten sam produkt

macro-pdfviewer is a PDF Viewer Macro for XWiki using Mozilla pdf.js. Any user with view right on XWiki.PDFVie...

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam vendor

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-65091CRITICAL10.0PL ✓ten sam vendor

SQL Injection w XWiki Full Calendar Macro — dostęp bez uwierzytelnienia

CVE-2025-55727CRITICAL10.0PL ✓ten sam vendor

XWiki Pro Macros: RCE przez brak escapowania parametru width w makro column