中危 XWiki 管理工具应用程序 CSRF 与 QueryOnXWiki 允许任意数据库查询 (CVE-2023-48293)
CVE编号
CVE-2023-48293利用情况
暂无补丁情况
官方补丁披露时间
2023-11-21漏洞描述
XWiki Admin Tools Application提供了帮助XWiki管理员进行管理的工具。在4.5.1版本之前,XWiki工具上的查询存在跨站请求伪造漏洞,允许在XWiki安装的数据库上执行任意数据库查询。其中包括修改和删除wiki的所有数据。攻击者可以利用此漏洞损坏wiki并创建具有提升特权的帐户,从而影响整个XWiki实例的机密性、完整性和可用性。可能的攻击向量是在wiki上的评论中,通过嵌入使用wiki语法的图像,例如`[[image:path:/xwiki/bin/view/Admin/QueryOnXWiki?query=DELETE%20FROM%20xwikidoc]]`,当管理员用户查看此评论时,所有文档都将从数据库中删除。此问题已在Admin Tools Application 4.5.1中修补,通过添加表单令牌检查。也可以使用一些解决方案来解决此问题。修补程序还可以手动应用于受影响的页面。或者,如果不需要查询工具,可以通过删除文档`Admin.SQLToolsGroovy`来禁用所有数据库查询工具。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论