XWiki Platform vor 14.4.8/14.10.4/15.0-rc-1 SkinsCode.XWikiSkinsSheet erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Zusammenfassung
In XWiki Platform wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Betroffen davon ist die Funktion SkinsCode.XWikiSkinsSheet. Dank der Manipulation mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden.
Diese Schwachstelle wird als CVE-2023-37462 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es ist kein Exploit verfügbar.
Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In XWiki Platform (Content Management System) wurde eine kritische Schwachstelle ausgemacht. CWE definiert das Problem als CWE-95. Es ist nicht bekannt, inwiefern sich eine durchgesetzte Attacke genau auswirken wird. Die Zusammenfassung von CVE lautet:
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Improper escaping in the document `SkinsCode.XWikiSkinsSheet` leads to an injection vector from view right on that document to programming rights, or in other words, it is possible to execute arbitrary script macros including Groovy and Python macros that allow remote code execution including unrestricted read and write access to all wiki contents. The attack works by opening a non-existing page with a name crafted to contain a dangerous payload. It is possible to check if an existing installation is vulnerable. See the linked GHSA for instructions on testing an installation. This issue has been patched in XWiki 14.4.8, 14.10.4 and 15.0-rc-1. Users are advised to upgrade. The fix commit `d9c88ddc` can also be applied manually to the impacted document `SkinsCode.XWikiSkinsSheet` and users unable to upgrade are advised to manually patch their installations.Die Schwachstelle wurde am 15.07.2023 als GHSA-h4vp-69r8-gvjg öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 06.07.2023 als CVE-2023-37462 geführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 14.4.8, 14.10.4 oder 15.0-rc-1 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches d9c88ddc4c0c78fa534bd33237e95dea66003d29 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.3VulDB Meta Temp Score: 8.2
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 8.8
NVD Vector: 🔍
CNA Base Score: 9.9
CNA Vector (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-95 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Platform 14.4.8/14.10.4/15.0-rc-1
Patch: d9c88ddc4c0c78fa534bd33237e95dea66003d29
Timeline
06.07.2023 🔍15.07.2023 🔍
15.07.2023 🔍
06.08.2023 🔍
Quellen
Advisory: GHSA-h4vp-69r8-gvjgStatus: Bestätigt
CVE: CVE-2023-37462 (🔍)
GCVE (CVE): GCVE-0-2023-37462
GCVE (VulDB): GCVE-100-234205
Eintrag
Erstellt: 15.07.2023 06:11Aktualisierung: 06.08.2023 08:08
Anpassungen: 15.07.2023 06:11 (52), 06.08.2023 08:08 (11)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.