中危 通过 Menu.UIExtensionSheet 从帐户进行权限提升 (PR)/远程代码执行 (CVE-2023-37909)

CVE编号

CVE-2023-37909

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-10-26
漏洞描述
XWiki Platform是一个通用的维基平台,为基于它构建的应用程序提供运行时服务。在版本5.1-rc-1及其之前的版本中,任何能够编辑自己用户资料的用户都可以执行任意脚本宏,包括Groovy和Python宏,从而执行远程代码,包括对所有维基内容的无限制读取和写入访问权限。XWiki 14.10.8和15.3-rc-1已通过添加适当的转义对此进行了修复。作为解决方法,可以手动将补丁应用于文档`Menu.UIExtensionSheet`,只需更改三行内容。
解决建议
"将组件 org.xwiki.platform:xwiki-platform-menu-ui 升级至 14.10.8 及以上版本"
"将组件 org.xwiki.platform:xwiki-platform-menu-ui 升级至 15.3-rc-1 及以上版本"
"将组件 org.xwiki.platform:xwiki-platform-menu 升级至 14.10.8 及以上版本"
参考链接
https://github.com/xwiki/xwiki-platform/commit/9e8f080094333dec63a8583229a379...
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-v2rr-xw95-wcjx
https://jira.xwiki.org/browse/XWIKI-20746
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 xwiki xwiki * From
(including)
5.1 		Up to
(excluding)
14.10.8
阿里云评分
6.8
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
阿里云安全产品覆盖情况