中危 XWiki Platform 权限提升漏洞(CVE-2023-29525)
CVE编号
CVE-2023-29525利用情况
暂无补丁情况
官方补丁披露时间
2023-04-19漏洞描述
XWiki平台是一个通用的wiki平台,为在其上构建的应用程序提供运行时服务。受影响的xwiki版本受'/xwiki/bin/view/XWiki/Notifications/Code/LegacyNotificationAdministration'端点的'since'参数中的代码注入约束。这通过since-parameter提供了XWiki语法注入攻击,允许将权限从视图升级到编程权限和后续代码执行权限。该漏洞已在XWiki 15.0-rc-1, 14.10.3, 14.4.8和14.10.3中修复。建议用户升级。无法升级的用户可以修改'XWiki.Notifications.Code.LegacyNotificationAdministration'页面添加缺少的转义。对于<14.6-rc-1版本,解决方法是修改文件'<xwikiwebapp>/templates/distribution/eventmigration.wiki'以添加缺少的转义。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | xwiki | xwiki | * | Up to (excluding) 14.4.8 | |||||
| 运行在以下环境 | |||||||||
| 应用 | xwiki | xwiki | * | From (including) 14.5 | Up to (excluding) 14.10.3 | ||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-74 | 输出中的特殊元素转义处理不恰当(注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论