Podatność w systemie renderowania XWiki pozwala uwierzytelnionym użytkownikom na obejście trybu restricted i wykonanie niedozwolonych makr, w tym makr skryptowych. Ze względu na zakres oddziaływania (poufność, integralność, dostępność) oraz możliwość wykonania kodu po stronie serwera, luka jest oceniana jako krytyczna (CVSS 9.9).
▸ Pokaż oryginał (EN)
XWiki Rendering is a generic rendering system that converts textual input in a given syntax (wiki syntax, HTML, etc) into another syntax (XHTML, etc). Starting in version 4.2-milestone-1 and prior to versions 13.10.11, 14.4.7, and 14.10, the default macro content parser doesn't preserve the restricted attribute of the transformation context when executing nested macros. This allows executing macros that are normally forbidden in restricted mode, in particular script macros. The cache and chart macros that are bundled in XWiki use the vulnerable feature. This has been patched in XWiki 13.10.11, 14.4.7 and 14.10. To avoid the exploitation of this bug, comments can be disabled for untrusted users until an upgrade to a patched version has been performed. Note that users with edit rights will still be able to add comments via the object editor even if comments have been disabled.
Domyślny parser treści makr nie zachowuje atrybutu restricted kontekstu transformacji podczas przetwarzania zagnieżdżonych makr. W konsekwencji makra wykonywane wewnątrz innych makr działają poza trybem restricted, nawet jeśli powinny być w nim zablokowane. Podatne są makra cache oraz chart wbudowane w XWiki, które korzystają z opisanego mechanizmu. Atakujący posiadający uprawnienia do dodawania komentarzy może osadzić w nich zagnieżdżone makra skryptowe i uzyskać wykonanie kodu.
Atakujący może wykonać dowolny kod skryptowy w kontekście serwera XWiki, co prowadzi do pełnego naruszenia poufności, integralności i dostępności instancji. Luka umożliwia eskalację uprawnień wykraczającą poza izolację sandboxu.
Należy zaktualizować XWiki do wersji 13.10.11, 14.4.7 lub 14.10, w których podatność została usunięta. Jako tymczasowe obejście do czasu aktualizacji producent zaleca wyłączenie możliwości dodawania komentarzy przez niezaufanych użytkowników. Uwaga: użytkownicy posiadający prawa edycji nadal mogą dodawać komentarze przez edytor obiektów, nawet przy wyłączonych komentarzach.
XWiki Rendering w wersjach od 4.2-milestone-1 do wersji poprzedzających 13.10.11, 14.4.7 oraz 14.10.
Podatność istnieje od wersji 4.2-milestone-1. Obejście producenta (wyłączenie komentarzy) jest niepełne — użytkownicy z prawami edycji pozostają nadal w stanie skorzystać z luki przez edytor obiektów.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HXwiki
APPXwiki4.24.3 – 13.10.11 (bez)14.0 – 14.4.7 (bez)14.5 – 14.10 (bez)
Powiązane podatności
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
XWiki Rendering: XSS przez składnię xdom+xml/current w XHTML