Unauthenticated user can have information about hidden users on subwikis through uorgsuggest.vm 漏洞信息(CVE-2023-29203)

一、漏洞 CVE-2023-29203 基础信息

漏洞标题

未经过身份验证的用户可以通过uorgsuggest.vm获取子维基中隐藏用户的有关信息。

来源：AIGC 神龙大模型

漏洞描述信息

未认证的用户可以通过uorgsuggest.vm获取子维基中隐藏用户的资讯。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Unauthenticated user can have information about hidden users on subwikis through uorgsuggest.vm

来源：美国国家漏洞数据库 NVD

漏洞描述信息

XWiki Commons are technical libraries common to several other top level XWiki projects. It's possible to list some users who are normally not viewable from subwiki by requesting users on a subwiki which allows only global users with `uorgsuggest.vm`. This issue only concerns hidden users from main wiki. Note that the disclosed information are the username and the first and last name of users, no other information is leaked. The problem has been patched on XWiki 13.10.8, 14.4.3 and 14.7RC1.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

侵犯隐私

来源：美国国家漏洞数据库 NVD

漏洞标题

XWiki Commons 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

XWiki Commons是其他几个顶级 XWiki 项目共有的技术库。 XWiki Commons 存在安全漏洞，该漏洞源于可以通过请求子维基上的用户来列出一些通常无法从子维基查看的用户，该子维基是只允许具有“uorgsuggest.vm”的全局用户。此问题仅涉及主 wiki 中的隐藏用户。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-29203 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-29203 的情报信息

https://jira.xwiki.org/browse/XWIKI-20007 x_refsource_MISC
https://github.com/xwiki/xwiki-platform/pull/1883 x_refsource_MISC
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-vvp7-r422-rx83 x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2023-29203

一、 漏洞 CVE-2023-29203 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-29203 的公开POC

三、漏洞 CVE-2023-29203 的情报信息

一、漏洞 CVE-2023-29203 基础信息