Wtyczka XWiki Full Calendar Macro przed wersją 2.4.5 zawiera krytyczną podatność SQL injection w stronie Calendar.JSONService, dostępną bez uwierzytelnienia. Atakujący może uzyskać dostęp do danych bazy danych lub przeprowadzić atak DoS.
▸ Pokaż oryginał (EN)
XWiki Full Calendar Macro displays objects from the wiki on the calendar. Prior to version 2.4.5, users with the right to view the Calendar.JSONService page (including guest users) can exploit a SQL injection vulnerability by accessing database info or starting a DoS attack. This issue has been patched in version 2.4.5.
Podatność typu SQL injection (CWE-89) polega na możliwości wstrzyknięcia złośliwego kodu SQL poprzez żądanie do strony Calendar.JSONService. Strona ta jest dostępna dla wszystkich użytkowników posiadających prawo jej przeglądania, w tym dla gości (niezalogowanych). Atakujący może spreparować odpowiednie żądanie HTTP, które spowoduje wykonanie arbitralnych zapytań SQL w kontekście bazy danych używanej przez XWiki.
Atakujący może uzyskać nieautoryzowany dostęp do informacji przechowywanych w bazie danych instancji XWiki lub doprowadzić do niedostępności usługi (atak DoS). Ze względu na zakres CVSS obejmujący poufność, integralność i dostępność na poziomie wysokim z wpływem wykraczającym poza komponent (Scope: Changed), skutki mogą objąć całą instancję wiki.
Należy zaktualizować XWiki Full Calendar Macro do wersji 2.4.5 lub nowszej, w której podatność została załatana. Patch dostępny jest w repozytorium projektu (commit 5fdcf06a05015786492fda69b4d9dea5460cc994). Jako tymczasowe obejście można rozważyć ograniczenie dostępu do strony Calendar.JSONService dla nieuwierzytelnionych i nieuprzywilejowanych użytkowników.
XWiki Full Calendar Macro we wszystkich wersjach przed 2.4.5
Podatność dotyka również gości (niezalogowanych użytkowników), co znacznie obniża próg wejścia dla atakującego i uzasadnia maksymalny wynik CVSS 10.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HXwiki Full Calendar Macro
APPXwiki< 2.4.5
Powiązane podatności
XWiki Full Calendar Macro displays objects from the wiki on the calendar. Prior to version 2.4.6, users with t...
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
RCE przez XWiki syntax injection w parametrze classes makra Panel
XWiki Pro Macros: RCE przez brak escapowania parametru width w makro column
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)