W platformie XWiki istnieje krytyczna podatność SQL injection (CWE-89) umożliwiająca nieuwierzytelnionemu atakującemu wstrzyknięcie dowolnego kodu SQL poprzez parametr sort szablonu getdeleteddocuments.vm. Ze względu na brak wymaganego uwierzytelnienia i sieciowy wektor ataku podatność stanowi poważne zagrożenie dla wszystkich instancji XWiki w podatnych wersjach.
▸ Pokaż oryginał (EN)
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In versions 9.4-rc-1 through 16.10.5 and 17.0.0-rc-1 through 17.2.2, it's possible for anyone to inject SQL using the parameter sort of the getdeleteddocuments.vm. It's injected as is as an ORDER BY value. This is fixed in versions 16.10.6 and 17.3.0-rc-1.
Parametr sort przekazywany do szablonu getdeleteddocuments.vm jest bez walidacji ani sanityzacji wstawiany bezpośrednio jako wartość klauzuli ORDER BY w zapytaniu SQL. Atakujący może wysłać spreparowane żądanie HTTP z odpowiednio zmodyfikowaną wartością parametru sort, wstrzykując tym samym arbitralny kod SQL. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.
Atakujący może odczytać, zmodyfikować lub usunąć dane przechowywane w bazie danych XWiki, w tym potencjalnie uzyskać dostęp do poufnych informacji, takich jak dane użytkowników, tokeny sesji czy zawartość wiki.
Należy zaktualizować XWiki Platform do wersji 16.10.6 lub 17.3.0-rc-1 (i nowszych), w których podatność została naprawiona. Poprawki dostępne są w repozytorium projektu na GitHub (commity dfd0744e9c18d24ac66a0d261dc6cafd1c209101 oraz f502b5d5fd36284a50890ad26d168b7d8dc80bd3).
XWiki Platform w wersjach od 9.4-rc-1 do 16.10.5 oraz od 17.0.0-rc-1 do 17.2.2
Podatność została zgłoszona i śledzona jako XWIKI-23093 w systemie Jira projektu XWiki oraz opublikowana jako advisory GHSA-vr59-gm53-v7cq na GitHub Security Advisories.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XXwiki
APPXwiki9.4 – 16.10.6 (bez)17.0.0 – 17.2.2
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra
XWiki Rendering: XSS przez składnię xdom+xml/current w XHTML