Informazioni sul CVE-2022-23621

Missing authorization in xwiki-platform

CWE ID: CWE-862

Base Score (CVSS): N/A

CVE: CVE-2022-23621

Descrizione: XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In affected versions any user with SCRIPT right can read any file located in the XWiki WAR (for example xwiki.cfg and xwiki.properties) through XWiki#invokeServletAndReturnAsString as `$xwiki.invokeServletAndReturnAsString(“/WEB-INF/xwiki.cfg”)`. This issue has been patched in XWiki versions 12.10.9, 13.4.3 and 13.7-rc-1. Users are advised to update. The only workaround is to limit SCRIPT right.

Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 5.4 (Medium)

Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: High.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) N Network L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC) H High L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR) H High Richiede privilegi elevati.
User Interaction (UI) N None Non è richiesta interazione dell’utente.
Scope (S) U Unchanged Il raggio d’azione non cambia.
Confidentiality Impact (C) L Low Impatto limitato.
Integrity Impact (I) L Low Impatto limitato.
Availability Impact (A) H High Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

  • xwiki – xwiki-platform

Relazioni con altri prodotti

Produttore:xwiki
Prodotto: xwiki-platform
Anno: 2022
CWE: CWE-862
CVSS: 0.0

Ulteriori risorse disponibili