漏洞标题
XWiki Platform通过调度作业的文档引用实现CSRF远程代码执行
漏洞描述信息
XWiki平台是一个通用的维基平台。从版本3.1开始,但在版本4.10.19、15.5.4和15.10-rc-1之前,通过创建一个具有特殊构造的文档引用和`XWiki.SchedulerJobClass`XObject的文档,就可以在管理员访问调度页面或调度页面被引用(例如,通过维基页面上的评论中的图像)时在服务器上执行任意代码。此漏洞已在XWiki 14.10.19、15.5.5和15.9中修复。作为临时解决方案,可以通过修改`Scheduler.WebHome`页面手动应用补丁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
XWiki Platform CSRF remote code execution through scheduler job's document reference
漏洞描述信息
XWiki Platform is a generic wiki platform. Starting in version 3.1 and prior to versions 4.10.19, 15.5.4, and 15.10-rc-1, by creating a document with a special crafted documented reference and an `XWiki.SchedulerJobClass` XObject, it is possible to execute arbitrary code on the server whenever an admin visits the scheduler page or the scheduler page is referenced, e.g., via an image in a comment on a page in the wiki. The vulnerability has been fixed in XWiki 14.10.19, 15.5.5, and 15.9. As a workaround, apply the patch manually by modifying the `Scheduler.WebHome` page.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
XWiki Platform 安全漏洞
漏洞描述信息
XWiki Platform是XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。 XWiki Platform 存在安全漏洞,该漏洞源于通过使用特制的文档引用和 XWiki.SchedulerJobClass XObject 创建文档,每当管理员访问调度程序页面或引用调度程序页面时,都可以在服务器上执行任意代码。
CVSS信息
N/A
漏洞类别
其他