CVE-2024-31997
XWiki Platform remote code execution from account through UIExtension parameters
En resumen
XWiki ejecuta los parámetros de extensiones de UI como código con derechos totales, permitiendo que cualquier usuario con permiso de edición (incluido en su propio perfil) ejecute comandos arbitrarios y comprometa todo el sistema.
Detalle técnico
CWE-862 (Falta de Autorización): los parámetros de extensión de UI se interpretan como código Velocity y se ejecutan con privilegios de programación. Cualquier usuario autenticado con derechos de edición en documentos puede inyectar parámetros maliciosos, resultando en ejecución remota de código y compromiso total del sistema. Versiones afectadas: <14.10.19, <15.5.4, <15.9-RC1.
Resumen generado y traducido por IA a partir de la descripción oficial.
XWiki Platform is a generic wiki platform. Prior to versions 4.10.19, 15.5.4, and 15.10-rc-1, parameters of UI extensions are always interpreted as Velocity code and executed with programming rights. Any user with edit right on any document like the user's own profile can create UI extensions. This allows remote code execution and thereby impacts the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.19, 15.5.4 and 15.9-RC1. No known workarounds are available.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
xwiki · xwiki-platform¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/xwiki/xwiki-platform/commit/171e7c7d0e56deaa7b3678657ae26ef95379b1eahttps://github.com/xwiki/xwiki-platform/commit/1b2574eb966457ca4ef34e557376b8751d1be90dhttps://github.com/xwiki/xwiki-platform/commit/56748e154a9011f0d6239bec0823eaaeab6ec3f7https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-c2gg-4gq4-jv5jhttps://jira.xwiki.org/browse/XWIKI-21335