VDB-232722 · CVE-2023-36469 · GHSA-94pf-92hw-2hjc

XWiki Platform vor 14.10.6/15.2RC1 erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
8.2	$0-$5k	0.00

Zusammenfassunginfo

In XWiki Platform wurde eine kritische Schwachstelle ausgemacht. Das betrifft eine unbekannte Funktionalität. Dank Manipulation mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2023-36469 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine kritische Schwachstelle in XWiki Platform (Content Management System) entdeckt. Im Rahmen von CWE wurde eine Klassifizierung als CWE-95 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird. CVE fasst zusammen:

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user who can edit their own user profile and notification settings can execute arbitrary script macros including Groovy and Python macros that allow remote code execution including unrestricted read and write access to all wiki contents. This has been patched in XWiki 14.10.6 and 15.2RC1. Users are advised to update. As a workaround the main security fix can be manually applied by patching the affected document `XWiki.Notifications.Code.NotificationRSSService`. This will break the link to the differences, though as this requires additional changes to Velocity templates as shown in the patch. While the default template is available in the instance and can be easily patched, the template for mentions is contained in a `.jar`-file and thus cannot be fixed without replacing that jar.

Die Schwachstelle wurde am 30.06.2023 als GHSA-94pf-92hw-2hjc publik gemacht. Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 21.06.2023 unter CVE-2023-36469 geführt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 14.10.6 oder 15.2RC1 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 217e5bb7a657f2991b154a16ef4d5ae9c29ad39c beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Typ

Content Management System

Hersteller

XWiki

Name

Platform

Lizenz

Open-Source

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.3
VulDB Meta Temp Score: 8.2

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CNA Base Score: 9.9
CNA Vector (GitHub, Inc.): 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-95 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Platform 14.10.6/15.2RC1
Patch: 217e5bb7a657f2991b154a16ef4d5ae9c29ad39c

Timelineinfo

21.06.2023 🔍
30.06.2023 +9 Tage 🔍
30.06.2023 +0 Tage 🔍
21.07.2023 +21 Tage 🔍

Quelleninfo

Advisory: GHSA-94pf-92hw-2hjc
Status: Bestätigt

CVE: CVE-2023-36469 (🔍)
GCVE (CVE): GCVE-0-2023-36469
GCVE (VulDB): GCVE-100-232722

Eintraginfo

Erstellt: 30.06.2023 07:56
Aktualisierung: 21.07.2023 16:24
Anpassungen: 30.06.2023 07:56 (51), 21.07.2023 16:24 (11)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

◂ Zurück Übersicht Weiter ▸

Want to know what is going to be exploited?

We predict KEV entries!