漏洞标题
XWiki Rendering的脚注宏存在通过脚注宏进行权限提升的漏洞
漏洞描述信息
## 概述
XWiki Rendering 脚本在将特定语法的文本输入转换为另一种语法时,存在一个漏洞。具体的漏洞出在脚注宏(footnote macro)中,它在处理内容时使用了不同于定义时的上下文。
## 影响版本
- `org.xwiki.platform:xwiki-core-rendering-macro-footnotes` 和 `org.xwiki.platform:xwiki-rendering-macro-footnotes` 版本低于 14.10.6
- `org.xwiki.platform:xwiki-rendering-macro-footnotes` 版本低于 15.1-rc-1
## 细节
该漏洞允许攻击者通过简单用户账户获得编程权限,从而实现远程代码执行。特别地,当与包含宏(include macro)结合使用时,此漏洞尤为明显。这一问题已在 XWiki 14.10.6 和 15.1-rc-1 中得到修复。
## 影响
这一漏洞影响了 XWiki 安装的机密性、完整性和可用性,可通过升级到修复版本来缓解。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:H
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
XWiki Rendering's footnote macro vulnerable to privilege escalation via the footnote macro
漏洞描述信息
XWiki Rendering is a generic Rendering system that converts textual input in a given syntax into another syntax. Prior to version 14.10.6 of `org.xwiki.platform:xwiki-core-rendering-macro-footnotes` and `org.xwiki.platform:xwiki-rendering-macro-footnotes` and prior to version 15.1-rc-1 of `org.xwiki.platform:xwiki-rendering-macro-footnotes`, the footnote macro executed its content in a potentially different context than the one in which it was defined. In particular in combination with the include macro, this allows privilege escalation from a simple user account in XWiki to programming rights and thus remote code execution, impacting the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.6 and 15.1-rc-1. There is no workaround apart from upgrading to a fixed version of the footnote macro.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
漏洞类别
特权上下文切换错误
漏洞标题
XWiki Rendering 安全漏洞
漏洞描述信息
XWiki Rendering是XWiki基金会的一个通用渲染系统,它将给定语法(wiki 语法、HTML 等)中的文本输入转换为另一种语法(XHTML 等)。 XWiki Rendering 存在安全漏洞,该漏洞源于脚注宏在可能其他环境中执行其内容。
CVSS信息
N/A
漏洞类别
其他