[TLP:CLEAR] XWiki opravuje 12 zraniteľností, z toho je 10 kritických
XWiki verziami 14.10.20, 15.5.4 a 15.10-rc-1 opravuje 12 zraniteľností, pričom 10 z nich je kritických. Postup na overenie zraniteľnosti vašej inštancie je možné nájsť v odkaze pri každej zraniteľnosti.
Autentizovanému vzdialenému útočníkovi s právami na editáciu akéhokoľvek dokumentu je umožnené neoprávnene vykonávať ľubovolný kód, čo by spôsobilo kompromitáciu celej inštancie [1].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (<14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.9-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31997 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene vykonávať ľubovolný Groovy/Python kód, čo by spôsobilo kompromitáciu celej inštancie. Pre zneužitie zraniteľnosti je potrebné mať v XWiki nainštalovaný editor na editovanie v reálnom čase a taktiež je potrebná interakcia administrátora [2].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=13.9-rc-1 AND <14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.9)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31988 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené získať programovacie práva [3].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=3.0.1 AND <14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.9)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31981 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene zasahovať do plánovača úloh. Pre zneužitie zraniteľnosti je potrebná interakcia admina [4].
Zraniteľnosť sa nachádza v produkte Xwiki vo verziách (>=3.1 AND <14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.9)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
Viac informácií:
- CVE-2024-31985 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene vykonávať ľubovolný kód, čo by spôsobilo kompromitáciu celej inštancie [5].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=3.0.1 AND <14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.9-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31996 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vytvorením dokumentu so špeciálne vytvorenými referenciami spúšťať ľubovolný kód. Pre zneužitie zraniteľnosti je potrebná interakcia administrátora [6].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=3.1 AND <14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.9)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31986 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Autentizovanému vzdialenému útočníkovi s právami na editovanie stránok používateľov je umožnené za určitých okolností zobrazovať hash hesla týchto používateľov [7].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=5.0-rc-1 AND <14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.9-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2024-31464 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Autentizovanému vzdialenému útočníkovi s právami na editáciu akejkoľvek stránky je umožnené neoprávnene vykonávať ľubovolný Groovy kód, čo by spôsobilo kompromitáciu celej inštancie [8].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=5.2-milestone-2 AND <14.10.20) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.10-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31465 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Autentizovanému vzdialenému útočníkovi s právami na editáciu akejkoľvek stránky je umožnené spúšťať ľubovolný kód, čo by spôsobilo kompromitáciu celej inštancie [9].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=6.4-milestone-1 AND <14.10.19) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.10-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31987 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Autentizovanému vzdialenému útočníkovi s právami na editáciu názvu priestoru je umožnené neoprávnene vykonávať ľubovolný Groovy kód, čo by spôsobilo kompromitáciu celej inštancie [10].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=7.2-rc-1 AND <14.10.20) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.10-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31984 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene vykonávať ľubovolný Groovy kód, čo by spôsobilo kompromitáciu celej inštancie [11].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=2.4-milestone-1 AND <14.10.20) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.10-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31982 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Autentizovanému vzdialenému útočníkovi s právami na editáciu je umožnené neoprávnene vykonávať ľubovolný Groovy kód, čo by spôsobilo kompromitáciu celej inštancie [12].
Zraniteľnosť sa nachádza v produkte XWiki vo verziách (>=4.3-milestone-2 AND <14.10.20) OR (>=15.0-rc-1 AND <15.5.4) OR (>=15.6-rc-1 AND <15.10-rc-1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-31983 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 4. 2024.
Odkazy
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-c2gg-4gq4-jv5j
- [2] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-r5vh-gc3r-r24w
- [3] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-vxwr-wpjv-qjq7
- [4] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-j2r6-r929-v6gf
- [5] https://github.com/xwiki/xwiki-commons/security/advisories/GHSA-hf43-47q4-fhq5
- [6] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-37m4-hqxv-w26g
- [7] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-v782-xr4w-3vqx
- [8] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-34fj-r5gq-7395
- [9] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-cv55-v6rw-7r5v
- [10] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-xm4h-3jxr-m3c6
- [11] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-2858-8cfx-69m9
- [12] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-xxp2-9c9g-7wmj
Publikoval Martin Krajči dňa 11. 4. 2024.
