CVE-2022-41933 in XWiki Platform
Zusammenfassung
von VulDB • 16.06.2026
XWiki Platform ist eine generische Wiki-Plattform, die Laufzeitdienste für darauf aufbauende Anwendungen bereitstellt. Wenn die Funktion „ein vergessenes Passwort zurücksetzen“ in XWiki verwendet wurde, wurde das Passwort anschließend im Klartext in der Datenbank gespeichert. Dies betrifft nur XWiki 13.1RC1 und neuere Versionen. Beachten Sie, dass dies ausschließlich die Zurücksetzfunktion für Passwörter über den Link „Passwort vergessen?“ auf der Anmeldeseite betrifft: Die Funktionen, mit denen ein Benutzer sein eigenes Passwort ändern kann oder ein Administrator das Passwort eines Benutzers ändert, sind nicht betroffen. Diese Schwachstelle ist in Kombination mit anderen Sicherheitslücken, die einen Datenabfluss personenbezogener Daten von Nutzern ermöglichen (z. B. GHSA-599v-w48h-rjrm), besonders gefährlich. Beachten Sie zudem, dass diese Schwachstelle nur die Benutzer des Hauptwikis betrifft: Bei Farm-Umgebungen sind auf Sub-Wikis registrierte Benutzer nicht betroffen, da bei der Untersuchung dieses Problems ein Fehler entdeckt wurde. Das Problem wurde in den Versionen 14.6RC1, 14.4.3 und 13.10.8 behoben. Die Korrektur umfasst eine Migration der betroffenen Benutzer sowie die Historie der Seite, um sicherzustellen, dass keine Passwörter mehr im Klartext in der Datenbank verbleiben. Diese Migration beinhaltet auch die Benachrichtigung der Nutzer über das mögliche Offenlegen ihrer Passwörter: Standardmäßig werden automatisch zwei E-Mails an die betroffenen Benutzer gesendet. Eine erste E-Mail informiert darüber, dass ihr Passwort möglicherweise kompromittiert wurde, und eine zweite E-Mail nutzt die Funktion zum Zurücksetzen des Passworts, um sie aufzufordern, ein neues Passwort festzulegen. Administratoren können zudem bestimmte Eigenschaften für die Migration konfigurieren: Es kann entschieden werden, ob das Benutzerpasswort zurückgesetzt werden soll (Standard) oder ob die Passwörter beibehalten und nur gehasht werden sollen. Beachten Sie, dass im ersten Fall die betroffenen Benutzer sich nicht mehr anmelden können, bis sie ein neues Passwort festgelegt haben. Beachten Sie außerdem, dass in beiden Fällen E-Mails an die Nutzer gesendet werden, um sie zu informieren und zur Änderung ihrer Passwörter anzuregen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.