漏洞标题
XWiki平台:通过SearchSuggestSourceSheet从帐户远程执行代码
漏洞描述信息
XWiki Platform是一个通用的维基平台。从版本5.0-rc-1开始,但在版本14.10.20、15.5.4和15.9-rc-1之前,任何页面有编辑权限的用户可以通过将类型为`XWiki.SearchSuggestSourceClass`的对象添加到他们的用户配置文件或其他任何页面上来在服务器上执行任何代码。这将整个XWiki安装的机密性、完整性和可用性都置于危险之中。此漏洞已在XWiki 14.10.20、15.5.4和15.10 RC1中得到修复。作为一个临时解决方案,可以手动将补丁应用到文档`XWiki.SearchSuggestSourceSheet`中。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
XWiki Platform: Remote code execution from account via SearchSuggestSourceSheet
漏洞描述信息
XWiki Platform is a generic wiki platform. Starting in version 5.0-rc-1 and prior to versions 14.10.20, 15.5.4, and 15.9-rc-1, any user with edit right on any page can execute any code on the server by adding an object of type `XWiki.SearchSuggestSourceClass` to their user profile or any other page. This compromises the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.20, 15.5.4 and 15.10 RC1. As a workaround, manually apply the patch to the document `XWiki.SearchSuggestSourceSheet`.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
漏洞类别
动态执行代码中指令转义处理不恰当(Eval注入)
漏洞标题
XWiki Platform 安全漏洞
漏洞描述信息
XWiki Platform是XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。 XWiki Platform 存在安全漏洞,该漏洞源于 XWiki.SearchSuggestSourceClass 在任何页面上具有编辑权限的任何用户都可以通过将类型对象添加到其用户配置文件或任何其他页面来执行服务器上的任何代码。
CVSS信息
N/A
漏洞类别
其他