漏洞标题
XWiki 通过用户注册漏洞进行远程代码执行
漏洞描述信息
XWiki平台是一个通用的wiki平台,提供基于其上的应用程序的运行时服务。XWiki通过其用户注册功能具有远程代码执行(RCE)攻击的漏洞。这个漏洞允许攻击者通过在“姓名”或“姓氏”字段中创建恶意附件来执行任意代码。这会影响所有设有 guest 用户注册功能的 installations。这个漏洞已在XWiki 14.10.17、15.5.3和15.8 RC1中进行修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
漏洞标题
XWiki Remote Code Execution vulnerability via user registration
漏洞描述信息
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki is vulnerable to a remote code execution (RCE) attack through its user registration feature. This issue allows an attacker to execute arbitrary code by crafting malicious payloads in the "first name" or "last name" fields during user registration. This impacts all installations that have user registration enabled for guests. This vulnerability has been patched in XWiki 14.10.17, 15.5.3 and 15.8 RC1.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
漏洞类别
动态执行代码中指令转义处理不恰当(Eval注入)
漏洞标题
XWiki Platform 安全漏洞
漏洞描述信息
XWiki Platform是XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。 XWiki Platform存在安全漏洞,该漏洞源于user registration功存在远程代码执行(RCE)漏洞。受影响的产品和版本:XWiki Platform 14.10.17之前版本,15.5.3之前版本,15.8-rc-1之前版本。
CVSS信息
N/A
漏洞类别
其他