Informazioni sul CVE-2024-31986
XWiki Platform CSRF remote code execution through scheduler job's document reference
CWE ID: CWE-352
Base Score (CVSS): N/A
CVE: CVE-2024-31986
Descrizione: XWiki Platform è una piattaforma wiki generica. Dal version 3.1 in precedenza a version 4.10.19, 15.5.4, e 15.10-rc-1, creando un documento con una riferenza documentata speciale e un `XWiki.SchedulerJobClass` XObject, è possibile eseguire codice arbitrario sul server quando un amministratore visita la pagina del scheduler o la pagina del scheduler viene menzionata, ad esempio tramite un’immagine in un commento su una pagina del wiki. La vulnerabilità è stata corretta in XWiki 14.10.19, 15.5.5 e 15.9. Come workaround, applica la patch manualmente modificando la pagina `Scheduler.WebHome`.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-37m4-hqxv-w26g
- https://github.com/xwiki/xwiki-platform/commit/8a92cb4bef7e5f244ae81eed3e64fe9be95827cf
- https://github.com/xwiki/xwiki-platform/commit/efd3570f3e5e944ec0ad0899bf799bf9563aef87
- https://github.com/xwiki/xwiki-platform/commit/f30d9c641750a3f034b5910c6a3a7724ae8f2269
- https://jira.xwiki.org/browse/XWIKI-21416
Prodotti interessati
- xwiki – xwiki-platform
Relazioni con altri prodotti
Produttore:xwiki
Prodotto: xwiki-platform
Anno: 2024
CWE: CWE-352
CVSS: 0.0