CVE-2023-50719
XWiki Platform Solr search discloses password hashes of all users
En resumen
La búsqueda de XWiki expone los hashes de contraseña de todos los usuarios en los resultados. Como los perfiles son públicos por defecto, cualquiera puede ver esta información sensible.
Detalle técnico
La funcionalidad de búsqueda basada en Solr en XWiki Platform falla al filtrar campos sensibles (CWE-200: Exposición de Información Sensible) de los índices de búsqueda, permitiendo que usuarios con pocos privilegios o no autenticados recuperen hashes de contraseña y claves de API a través de consultas de búsqueda estándar. Las versiones afectadas de 7.2-milestone-2 hasta 15.7-rc-1 carecen de controles de acceso apropiados en datos sensibles indexados.
Resumen generado y traducido por IA a partir de la descripción oficial.
XWiki Platform is a generic wiki platform. Starting in 7.2-milestone-2 and prior to versions 14.10.15, 15.5.2, and 15.7-rc-1, the Solr-based search in XWiki discloses the password hashes of all users to anyone with view right on the respective user profiles. By default, all user profiles are public. This vulnerability also affects any configurations used by extensions that contain passwords like API keys that are viewable for the attacker. Normally, such passwords aren't accessible but this vulnerability would disclose them as plain text. This has been patched in XWiki 14.10.15, 15.5.2 and 15.7RC1. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
xwiki · xwiki-platform¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →