← volver
CVE-2023-35150

XWiki Platform vulnerable to privilege escalation (PR) from view right via Invitation application

CVSS 9.9 CRITICALEPSS 77.7%CWE-95
En resumen

Una falla en la aplicación de Invitaciones de XWiki permite que cualquier usuario con permiso de visualización ejecute código con privilegios de administrador mediante una URL maliciosa, pudiendo comprometer todo el sistema.

Detalle técnico

Vulnerabilidad CWE-95 (Neutralización Inadecuada de Directivas en Código Evaluado Dinámicamente) en la aplicación Invitation de XWiki permite escalación de privilegios desde derechos de vista a derechos de programación. Un atacante autenticado puede construir una URL especialmente formada para inyectar y ejecutar código arbitrario con privilegios elevados, logrando ejecución remota de código. Versiones afectadas: 2.40m-2 hasta 14.4.7, 14.10.3 y anteriores a 15.0.

Resumen generado y traducido por IA a partir de la descripción oficial.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting in version 2.40m-2 and prior to versions 14.4.8, 14.10.4, and 15.0, any user with view rights on any document can execute code with programming rights, leading to remote code execution by crafting an url with a dangerous payload. The problem has been patched in XWiki 15.0, 14.10.4 and 14.4.8.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Productos afectados
xwiki · xwiki-platform

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/xwiki/xwiki-platform/commit/b65220a4d86b8888791c3b643074ebca5c089a3ahttps://github.com/xwiki/xwiki-platform/security/advisories/GHSA-6mf5-36v9-3h2whttps://jira.xwiki.org/browse/XWIKI-20285