XWiki Platform bis 12.10.10/13.4.5/13.10.0 Security Parent POM erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in XWiki Platform bis 12.10.10/13.4.5/13.10.0 ausgemacht. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Komponente Security Parent POM. Durch das Beeinflussen mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2022-31167. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
In XWiki Platform bis 12.10.10/13.4.5/13.10.0 (Content Management System) wurde eine kritische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess der Komponente Security Parent POM. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-285. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:
XWiki Platform Security Parent POM contains the security APIs for XWiki Platform, a generic wiki platform. Starting with version 5.0 and prior to 12.10.11, 13.10.1, and 13.4.6, a bug in the security cache stores rules associated to document Page1.Page2 and space Page1.Page2 in the same cache entry. That means that it's possible to overwrite the rights of a space or a document by creating the page of the space with the same name and checking the right of the new one first so that they end up in the security cache and are used for the other too. The problem has been patched in XWiki 12.10.11, 13.10.1, and 13.4.6. There are no known workarounds.Die Schwachstelle wurde am 07.09.2022 als GHSA-gg53-wf5x-r3r6 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 18.05.2022 mit CVE-2022-31167 vorgenommen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1548.002.
Ein Upgrade auf die Version 12.10.11, 13.4.6 oder 13.10.1 vermag dieses Problem zu beheben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Name
Version
- 12.10.0
- 12.10.1
- 12.10.2
- 12.10.3
- 12.10.4
- 12.10.5
- 12.10.6
- 12.10.7
- 12.10.8
- 12.10.9
- 12.10.10
- 13.0
- 13.1
- 13.2
- 13.3
- 13.4
- 13.4.0
- 13.4.1
- 13.4.2
- 13.4.3
- 13.4.4
- 13.4.5
- 13.5
- 13.6
- 13.7
- 13.8
- 13.9
- 13.10.0
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.6VulDB Meta Temp Score: 6.5
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CNA Base Score: 7.1
CNA Vector (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-285 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: XWiki Platform 12.10.11/13.4.6/13.10.1
Timeline
18.05.2022 🔍07.09.2022 🔍
07.09.2022 🔍
14.10.2022 🔍
Quellen
Advisory: GHSA-gg53-wf5x-r3r6Status: Bestätigt
CVE: CVE-2022-31167 (🔍)
GCVE (CVE): GCVE-0-2022-31167
GCVE (VulDB): GCVE-100-208048
Eintrag
Erstellt: 07.09.2022 21:11Aktualisierung: 14.10.2022 09:19
Anpassungen: 07.09.2022 21:11 (41), 14.10.2022 09:19 (21)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.