CVE-2022-41933 in XWiki Platforminformación

Resumen

por VulDB • 2026-06-05

XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones construidas sobre ella. Cuando se utilizaba la función `restablecer contraseña olvidada` de XWiki, la nueva contraseña se almacenaba posteriormente en texto plano en la base de datos. Esto solo afecta a las versiones 13.1RC1 y posteriores de XWiki. Tenga en cuenta que esto solo concierne a la funcionalidad de restablecimiento de contraseña accesible desde el enlace "¿Ha olvidado su contraseña?" en la vista de inicio de sesión: las funciones que permiten a un usuario cambiar su propia contraseña o a un administrador cambiar la contraseña de un usuario no están afectadas. Esta vulnerabilidad es particularmente peligrosa cuando se combina con otras vulnerabilidades que permiten realizar fugas de datos personales de usuarios, como GHSA-599v-w48h-rjrm. Tenga en cuenta que esta vulnerabilidad solo afecta a los usuarios del wiki principal: en caso de granjas (farms), los usuarios registrados en subwikis no están afectados gracias a un error que descubrimos durante la investigación. El problema se ha corregido en las versiones 14.6RC1, 14.4.3 y 13.10.8. La corrección implica una migración de los usuarios afectados así como del historial de la página, para garantizar que no queden contraseñas en texto plano en la base de datos. Esta migración también incluye informar a los usuarios sobre la posible divulgación de sus contraseñas: por defecto, se envían automáticamente dos correos electrónicos a los usuarios afectados. Un primer correo electrónico informa sobre la posibilidad de que su contraseña haya sido filtrada, y un segundo correo electrónico utiliza la función de restablecimiento de contraseña para solicitarles que establezcan una nueva contraseña. También es posible que los administradores configuren algunas propiedades para la migración: se puede decidir si las contraseñas de los usuarios deben ser restablecidas (valor predeterminado) o si las contraseñas deben conservarse pero solo almacenadas como hash. Tenga en cuenta que, con la primera opción, los usuarios no podrán iniciar sesión hasta que establezcan una nueva contraseña si fueron afectados. Tenga en cuenta que, en ambas opciones, se enviarán correos electrónicos a los usuarios para informarles y animarles a cambiar sus contraseñas.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub, Inc.

Reservar

2022-09-30

Divulgación

2022-11-24

Moderación

aceptado

Artículo

VDB-214164

CPE

listo

EPSS

0.00450

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!