CVE-2023-37913 in XWikiinfo

Zusammenfassung

von VulDB • 26.06.2026

XWiki Platform ist eine generische Wiki-Plattform, die Laufzeitdienste für darauf aufbauende Anwendungen bereitstellt. Ab Version 3.5-milestone-1 und vor den Versionen 14.10.8 sowie 15.3-rc-1 ermöglicht das Auslösen des Office-Konverters mit einem speziell angefertigten Dateinamen das Schreiben des Inhalts der Anlage an einen vom Angreifer kontrollierten Speicherort auf dem Server, sofern der Java-Prozess Schreibzugriff auf diesen Ort hat. Insbesondere in Kombination mit der Funktion zum Verschieben von Anlagen (Attachment Moving), die in XWiki 14.0 eingeführt wurde, ist dies leicht nachzustellen; es ist jedoch auch möglich, das Problem in so alten Versionen wie XWiki 3.5 zu reproduzieren, indem die Anlage über die REST-API hochgeladen wird, welche `/` oder `\` nicht aus dem Dateinamen entfernt. Da der MIME-Typ der Anlage für die Ausnutzung keine Rolle spielt, kann dies beispielsweise dazu verwendet werden, die `jar`-Datei einer Erweiterung zu ersetzen, was die Ausführung beliebigen Java-Codes ermöglicht und somit Vertraulichkeit, Integrität und Verfügbarkeit der XWiki-Installation beeinträchtigt. Diese Schwachstelle wurde in den Versionen 14.10.8 und 15.3RC1 von XWiki behoben. Es sind keine bekannten Workarounds bekannt, außer dem Deaktivieren des Office-Konverters.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

10.07.2023

Veröffentlichung

25.10.2023

Moderieren

akzeptiert

Eintrag

VDB-243461

CPE

bereit

EPSS

0.01076

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!