xwiki-platform hasta 13.10.4/14.2 request.sort Solicitud escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.1 | $0-$5k | 0.00 |
Resumen
Se ha identificado una vulnerabilidad clasificada como problemática en xwiki-platform hasta 13.10.4/14.2. Resulta afectada una función desconocida. La alteración del argumento Solicitud resulta en escalada de privilegios. Esta vulnerabilidad se registra como CVE-2024-55663. Se puede ejecutar el ataque remotamente. Ningún exploit está disponible. Se sugiere actualizar el componente afectado.
Detalles
Una vulnerabilidad ha sido encontrada en xwiki-platform hasta 13.10.4/14.2 y clasificada como problemática. La función request.sort es afectada por esta vulnerabilidad. Mediante la manipulación del parámetro request de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:
XWiki Platform es una plataforma wiki genérica. A partir de la versión 11.10.6 y antes de las versiones 13.10.5 y 14.3-rc-1, en `getdocument.vm`; el orden de los documentos devueltos se define a partir de un parámetro de solicitud no desinfectado (request.sort) y puede permitir a cualquier usuario inyectar HQL. Dependiendo del backend de la base de datos utilizado, el atacante puede no solo obtener información confidencial, como hashes de contraseñas, de la base de datos, sino también ejecutar consultas UPDATE/INSERT/DELETE. Esto se ha corregido en 13.10.5 y 14.3-rc-1. No se conoce ningún workaround, aparte de actualizar XWiki.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-55663. Es fácil de explotar. El ataque puede ser realizado a través de la red. La explotación requiere de una verificación múltiple de la autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Una actualización a la versión 13.10.5 o 14.3-rc1 elimina esta vulnerabilidad. Aplicando el parche 673076e2e8b88a36cdeaf7007843aa9ca1a068a0 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Producto
Escribe
Nombre
Versión
Licencia
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Puntuación meta base: 7.2VulDB Puntuación meta temporal: 7.1
VulDB Puntuación base: 4.7
VulDB Puntuación temporal: 4.5
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 9.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-116 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: xwiki-platform 13.10.5/14.3-rc1
Parche: 673076e2e8b88a36cdeaf7007843aa9ca1a068a0
Línea de tiempo
2024-12-10 🔍2024-12-12 🔍
2024-12-12 🔍
2025-01-11 🔍
Fuentes
Aviso: GHSA-wh34-m772-5398Estado: Confirmado
CVE: CVE-2024-55663 (🔍)
GCVE (CVE): GCVE-0-2024-55663
GCVE (VulDB): GCVE-100-288202
Artículo
Fecha de creación: 2024-12-12 21:31Actualizado: 2025-01-11 02:01
Cambios: 2024-12-12 21:31 (70), 2024-12-16 19:58 (1), 2025-01-11 02:01 (11)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.