W XWiki Platform, gdy zainstalowana jest aplikacja Extension Repository Application, dowolny zalogowany użytkownik może wykonać na serwerze kod wymagający uprawnień programisty (programming rights). Podatność jest krytyczna, ponieważ umożliwia nieautoryzowane wykonanie kodu po stronie serwera bez konieczności posiadania podwyższonych uprawnień.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform. Starting in version 3.3-milestone-1 and prior to versions 15.10.9 and 16.3.0, on instances where `Extension Repository Application` is installed, any user can execute any code requiring `programming` rights on the server. This vulnerability has been fixed in XWiki 15.10.9 and 16.3.0. Since `Extension Repository Application` is not mandatory, it can be safely disabled on instances that do not use it as a workaround. It is also possible to manually apply the patches from commit 8659f17d500522bf33595e402391592a35a162e8 to the page `ExtensionCode.ExtensionSheet` and to the page `ExtensionCode.ExtensionAuthorsDisplayer`.
Błąd wynika z nieprawidłowej weryfikacji uprawnień (CWE-863) oraz możliwości wstrzyknięcia i wykonania kodu skryptowego (CWE-94, CWE-96) w kontekście stron XWiki. Atakujący z podstawowym dostępem do instancji XWiki może wykorzystać strony ExtensionCode.ExtensionSheet lub ExtensionCode.ExtensionAuthorsDisplayer, aby uruchomić dowolny kod z poziomem uprawnień programisty. Nie jest wymagana żadna interakcja ze strony innych użytkowników ani eskalacja uprawnień poza mechanizm samej podatności.
Atakujący może wykonać dowolny kod na serwerze z najwyższymi uprawnieniami aplikacyjnymi (programming rights), co w praktyce oznacza pełne przejęcie instancji XWiki, dostęp do poufnych danych, modyfikację treści wiki oraz potencjalne naruszenie integralności i dostępności systemu.
Należy zaktualizować XWiki Platform do wersji 15.10.9 lub 16.3.0. Jako obejście można wyłączyć aplikację Extension Repository Application, jeśli nie jest używana. Możliwe jest również ręczne zastosowanie poprawek z commitu 8659f17d500522bf33595e402391592a35a162e8 na stronach ExtensionCode.ExtensionSheet oraz ExtensionCode.ExtensionAuthorsDisplayer.
XWiki Platform w wersjach od 3.3-milestone-1 do 15.10.8 oraz od 16.0.0 do 16.2.x, z zainstalowaną aplikacją Extension Repository Application
Podatność można zneutralizować bez aktualizacji przez wyłączenie aplikacji Extension Repository Application — jest ona opcjonalna i nie jest wymagana do działania platformy XWiki.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki3.3 – 15.10.9 (bez)16.0.0 – 16.3.0 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra