XWiki 平台:通过 DatabaseSearch 以访客身份远程执行代码 (CVE-2024-31982)

admin
admin
admin
0
文章
0
评论
2024-05-13 01:04:12 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
XWiki 平台:通过 DatabaseSearch 以访客身份远程执行代码 (CVE-2024-31982)

CVE编号

CVE-2024-31982

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-11
漏洞描述
XWiki平台是一个通用的维基平台。在版本2.4-milestone-1及之前的版本4.10.20、15.5.4和15.10-rc-1中,XWiki的数据库搜索允许通过搜索文本进行远程代码执行。这使得任何公共维基的访问者或封闭维基的用户都可以进行远程代码执行,因为数据库搜索默认对所有用户可访问。这会影响整个XWiki安装的机密性、完整性和可用性。此漏洞已在XWiki 14.10.20、15.5.4和15.10RC1中修补。作为一种解决方法,可以手动将补丁应用于页面`Main.DatabaseSearch`。另外,除非用户明确使用数据库搜索,否则可以删除此页面,因为这不是XWiki的默认搜索界面。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/xwiki/xwiki-platform/commit/3c9e4bb04286de94ad24854026a09f...
https://github.com/xwiki/xwiki-platform/commit/459e968be8740c8abc2a168196ce21...
https://github.com/xwiki/xwiki-platform/commit/95bdd6cc6298acdf7f8f21298d40ee...
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-2858-8cfx-69m9
https://jira.xwiki.org/browse/XWIKI-21472
CVSS3评分 10.0
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 已更改
  • 用户交互 无
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0