Podatność w rozszerzeniu XWiki Remote Macros umożliwia zdalne wykonanie kodu (RCE) przez każdego użytkownika posiadającego uprawnienia do edycji dowolnej strony. Wynika z braku escapowania parametru w makrze confluence paste code, co pozwala na wstrzyknięcie składni XWiki.
▸ Pokaż oryginał (EN)
XWiki Remote Macros provides XWiki rendering macros that are useful when migrating content from Confluence. Starting in version 1.0 and prior to version 1.26.5, missing escaping of the title in the confluence paste code macro allows remote code execution for any user who can edit any page. The classes parameter is used without escaping in XWiki syntax, thus allowing XWiki syntax injection which enables remote code execution. Version 1.26.5 has a fix for the issue.
Makro confluence paste code, wchodzące w skład XWiki Remote Macros, używa parametru 'classes' bez jego odpowiedniego escapowania w kontekście składni XWiki. Atakujący może wstrzyknąć do tego parametru dowolną składnię XWiki (XWiki syntax injection), która zostanie wykonana przez silnik renderujący. W efekcie możliwe jest zdalne wykonanie kodu po stronie serwera przez każdego użytkownika uprawnionego do edycji jakiejkolwiek strony w instancji XWiki.
Atakujący może wykonać dowolny kod na serwerze, co prowadzi do pełnego przejęcia kontroli nad instancją XWiki, w tym do ujawnienia, modyfikacji lub usunięcia danych (pełne naruszenie poufności, integralności i dostępności).
Należy zaktualizować XWiki Remote Macros do wersji 1.26.5, która zawiera poprawkę dla opisanej podatności. Szczegóły dostępne w referencjach producenta (GitHub Security Advisory GHSA-5w8v-h22g-j2mp).
XWiki Remote Macros (xwiki-pro-macros) w wersjach od 1.0 do wcześniejszych niż 1.26.5
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H