XWiki Platform de Xwiki. Vulnerabilidades y errores

Errores CVE de XWiki Platform de Xwiki

Vulnerabilidades CVE de XWiki Platform de Xwiki

XWiki Platform es una plataforma wiki genérica

7 de Marzo del 2023

  • CVE-2023-27479 : XWiki Platform es una plataforma wiki genérica que ofrece servicios de tiempo de ejecución para aplicaciones construidas sobre ella. En las versiones afectadas, cualquier usuario con derechos de visualización puede ejecutar código Groovy, Python o Velocity arbitrario en XWiki, lo que da acceso completo a la instalación de XWiki. La causa principal es el escape inadecuado de los parámetros de UIX. Un exploit de prueba de concepto es iniciar sesión, agregar un xobject `XWiki.UIExtensionClass` a la página de perfil de usuario, con un contenido de Parámetros de extensión que contiene `label={{/html}} {{async async="true" cached=" false" context="doc.reference"}}{{groovy}}println("¡Hola" + "de groovy!"){{/groovy}}{{/async}}`. Luego, navegue a `PanelsCode.ApplicationsPanelConfigurationSheet` (es decir, `/xwiki/bin/view/PanelsCode/ApplicationsPanelConfigurationSheet` donde ` ` es la URL de su instalación de XWiki) no debe ejecutar el script Groovy. Si es así, verá `Hello from groovy!` en la pantalla. Esta vulnerabilidad se ha parcheado en XWiki 13.10.11, 14.4.7 y 14.10-rc-1. Se recomienda a los usuarios que actualicen. Para los usuarios que no pueden actualizar, el problema se puede solucionar editando la página wiki `PanelsCode.ApplicationsPanelConfigurationSheet` y haciendo las mismas modificaciones que se muestran en la confirmación `6de5442f3c`.
  • CVE-2023-27480 : En las versiones afectadas, cualquier usuario con derechos de edición en un documento puede activar una importación XAR en un archivo XAR falsificado, lo que permite mostrar el contenido de cualquier archivo en el host del servidor XWiki. Esta vulnerabilidad se ha parcheado en XWiki 13.10.11, 14.4.7 y 14.10-rc-1. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden aplicar el parche `e3527b98fd` manualmente.

2 de Marzo del 2023

  • CVE-2023-26056 : A partir de la versión 3.0-milestone-1, es posible ejecutar un script con el derecho de otro usuario, siempre que el usuario objetivo no tenga derecho de programación. El problema se solucionó en XWiki 14.8-rc-1, 14.4.5 y 13.10.10. No hay soluciones alternativas conocidas para este problema.
  • CVE-2023-26470 : Es posible inutilizar la granja agregando un objeto a una página con un número enorme (por ejemplo, 67108863). La mayoría de las veces esto llenará la memoria asignada a XWiki y la hará inutilizable cada vez que se manipule este documento. Este problema se solucionó en XWiki 14.0-rc-1.
  • CVE-2023-26471 : A partir de la versión 11.6-rc-1, se supone que los comentarios se ejecutan con el derecho de superadministrador pero en modo restringido (todo lo peligroso está deshabilitado), pero la macro asíncrona no tiene en cuenta el modo restringido. Esto significa que cualquier usuario con derecho a comentar puede usar la macro asíncrona para ejecutar cualquier contenido wiki con el derecho de superadministrador. Esto ha sido parcheado en XWiki 14.9, 14.4.6 y 13.10.10. La única solución alternativa conocida consiste en aplicar un parche y reconstruir y volver a implementar `org.xwiki.platform:xwiki-platform-rendering-async-macro`.
  • CVE-2023-26472 : A partir de la versión 6.2-milestone-1, se puede ejecutar cualquier contenido wiki con el derecho de autor de IconThemeSheet creando un tema de icono con cierto contenido. Esto se puede hacer creando una nueva página o incluso a través del perfil de usuario para los usuarios que no tienen derecho de edición. El problema se solucionó en XWiki 14.9, 14.4.6 y 13.10.10. Una solución alternativa disponible es corregir el error en la página `IconThemesCode.IconThemeSheet` aplicando una modificación de la confirmación 48caf7491595238af2b531026a614221d5d61f38.
  • CVE-2023-26473 : A partir de la versión 1.3-rc-1, cualquier usuario con derecho de edición puede ejecutar una selección de base de datos arbitraria y acceder a los datos almacenados en la base de datos. El problema se solucionó en XWiki 13.10.11, 14.4.7 y 14.10. No hay otra solución para esta vulnerabilidad que no sea la actualización.
  • CVE-2023-26474 : A partir de la versión 13.10, es posible usar el derecho del autor del contenido de un documento existente para ejecutar una propiedad de área de texto. Esto ha sido parcheado en XWiki 14.10, 14.4.7 y 13.10.11. No hay soluciones alternativas conocidas.
  • CVE-2023-26475 : A partir de la versión 2.3-milestone-1, el visualizador de anotaciones no ejecuta el contenido en un contexto restringido. Esto permite ejecutar cualquier cosa con el derecho de autor de cualquier documento anotando el documento. Esto ha sido parcheado en XWiki 13.10.11, 14.4.7 y 14.10. No hay una solución fácil, excepto actualizar.
  • CVE-2023-26476 : A partir de la versión 3.2-m3, los usuarios pueden deducir el contenido de los campos de contraseña llamando repetidamente a `LiveTableResults` y `WikisLiveTableResultsMacros`. El problema se puede solucionar actualizando a las versiones 14.7-rc-1, 13.4.4 o 13.10.9 y superiores, o en la versión >= 3.2M3 aplicando el parche manualmente en `LiveTableResults` y `WikisLiveTableResultsMacros`.
  • CVE-2023-26477 : A partir de las versiones 6.3-rc-1 y 6.2.4, es posible inyectar una sintaxis wiki arbitraria, incluidas las macros de secuencias de comandos Groovy, Python y Velocity a través del parámetro de solicitud `newThemeName` (parámetro URL), en combinación con parámetros adicionales. Esto se ha parcheado en las versiones compatibles 13.10.10, 14.9-rc-1 y 14.4.6. Como solución alternativa, es posible editar `FlamingoThemesCode.WebHomeSheet` y realizar manualmente los cambios desde el parche que soluciona el problema.
  • CVE-2023-26478 : A partir de la versión 14.3-rc-1, `org.xwiki.store.script.TemporaryAttachmentsScriptService#uploadTemporaryAttachment` devuelve una instancia de `com.xpn.xwiki.doc.XWikiAttachment`. No se admite que esta clase se exponga a usuarios sin el derecho de `programación`. En su lugar, se debe usar `com.xpn.xwiki.api.Attachment` y se encarga de verificar los derechos del usuario antes de realizar operaciones peligrosas. Esto se ha parcheado en las versiones 14.9-rc-1 y 14.4.6. No hay soluciones alternativas conocidas para este problema.
  • CVE-2023-26479 : A partir de la versión 6.0, los usuarios con derechos de escritura pueden insertar contenido bien formado que el analizador no maneja bien. Como consecuencia, algunas páginas quedan inutilizables, incluido el índice de usuario (si la página que contiene el contenido defectuoso es una página de usuario) y el índice de página. Tenga en cuenta que en la página, la interfaz de usuario normal falta por completo y no es posible abrir el editor directamente para revertir el cambio, ya que el desbordamiento de la pila ya se activó al obtener el título del documento. Esto significa que es bastante difícil eliminar este contenido una vez insertado. Esto se ha parcheado en XWiki 13.10.10, 14.4.6 y 14.9-rc-1. Una solución temporal para evitar errores de desbordamiento de pila es aumentar la memoria asignada a la pila utilizando el parámetro JVM `-Xss` (p. ej., `-Xss32m`). Esto debería permitir que el analizador pase y corrija el contenido defectuoso. Se desconocen las consecuencias para otros aspectos del sistema (p. ej., el rendimiento), y esta solución solo debe usarse como una solución temporal. La solución alternativa no evita que el problema vuelva a ocurrir con otro contenido. En consecuencia, se recomienda encarecidamente actualizar a una versión en la que se haya solucionado el problema.
  • CVE-2023-26480 : A partir de la versión 12.10, un usuario sin derechos de secuencia de comandos puede introducir secuencias de comandos entre sitios almacenadas mediante la macro de datos en vivo. Esto ha sido parcheado en XWiki 14.9, 14.4.7 y 13.10.10. No hay soluciones alternativas conocidas.

Sitios de referencia

  • CVE-2023-26480: https://jira.xwiki.org/browse/XWIKI-20143

Otras paginas de vulnerabilidades CVE

  • sophos connect client
  • vim
  • gradle
  • sourcecodester electronic medical records system
  • library automation system
  • useroam hotspot
  • kubernetes
  • eg7035-m11
  • computer parts sales and inventory system
  • jensen de scandinavia eagle 1200ac
  • financial transaction manager
  • teler-waf
  • nova 220 eyk220f001 ddc con conexion bacnet
  • nvidia cuda toolkit
  • symphony plus s operations
  • youtube android player api sdk
  • Vantage6
  • Redis
  • wordpress gallery plugin nextgen gallery
  • terawallet for woocommerce
  • photo gallery images slider in rbs image gallery
  • all in one google analytics pixels and product feed manager para woocommerce
  • conditional shipping for woocommerce
  • cart all in one for woocommerce
  • pdf invoices packing slips for woocommerce
  • dell networker nve

    • ¿Quieres encontrar más vulnerabilidades?.

    Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

    Fecha actualización el 2023-03-11. Fecha publicación el 2023-03-06. Autor: Oscar olg Mapa del sitio Fuente: cve report