CRITICAL🇬🇧 English

CVE-2024-55877

XWiki Platform — RCE przez dodanie instancji WikiMacroClass

CVSS 9.9v3.1pub. 2024-12-12upd. 2025-04-30

Podatność w XWiki Platform umożliwia każdemu zalogowanemu użytkownikowi wykonanie dowolnego kodu zdalnego (RCE) poprzez dodanie instancji klasy `XWiki.WikiMacroClass` do dowolnej strony. Zagrożona jest poufność, integralność i dostępność całej instalacji XWiki.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform. Starting in version 9.7-rc-1 and prior to versions 15.10.11, 16.4.1, and 16.5.0, any user with an account can perform arbitrary remote code execution by adding instances of `XWiki.WikiMacroClass` to any page. This compromises the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been fixed in XWiki 15.10.11, 16.4.1 and 16.5.0. It is possible to manually apply the patch to the page `XWiki.XWikiSyntaxMacrosList` as a workaround.

🤖 Analiza AI
Jak działa

Mechanizm tworzenia makr wiki (WikiMacroClass) nie wymaga uprawnień administratora — wystarczy posiadanie zwykłego konta użytkownika. Atakujący może dodać odpowiednio spreparowaną instancję `XWiki.WikiMacroClass` na dowolnej stronie, co prowadzi do wykonania arbitralnego kodu po stronie serwera. Podatność klasyfikowana jest jako indirect script injection (CWE-96) oraz code injection (CWE-94), a jej zakres wykracza poza kontekst pojedynczego komponentu (CVSS Scope: Changed).

Skutki

Atakujący z dowolnym kontem użytkownika może przejąć pełną kontrolę nad instancją XWiki, uzyskując nieautoryzowany dostęp do danych, możliwość ich modyfikacji oraz zakłócenia działania platformy.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 15.10.11, 16.4.1 lub 16.5.0. Jako obejście (workaround) możliwe jest ręczne zastosowanie patcha na stronie `XWiki.XWikiSyntaxMacrosList` zgodnie z instrukcją w referencjach producenta.

Kogo dotyczy

XWiki Platform w wersjach od 9.7-rc-1 do 15.10.10 włącznie, a także wersje z gałęzi 16.x przed 16.4.1 i 16.5.0

Uwagi

Producent udostępnił workaround polegający na ręcznym zastosowaniu poprawki na stronie XWiki.XWikiSyntaxMacrosList, co pozwala na mitygację bez natychmiastowej aktualizacji całej platformy.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    16.5.09.7 – 15.10.11 (bez)16.0.0 – 16.4.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra