Платформа XWiki — это универсальная вики-платформа, предлагающая службы времени выполнения для приложений, созданных на ее основе. До версий 17.4.8 и 17.10.1 неправильно защищенный API сценариев позволял любому пользователю с правами на выполнение сценариев обходить изолированную программную среду API сценариев Velocity и выполнять, например, произвольные сценарии Python, обеспечивая полный доступ к экземпляру XWiki и тем самым ставя под угрозу конфиденциальность, целостность и доступность всего экземпляра. Обратите внимание, что право сценария уже представляет собой высокий уровень доступа, который мы не рекомендуем предоставлять ненадежным пользователям.
Эта уязвимость исправлена в версиях 17.4.8 и 17.10.1.
Показать оригинальное описание (EN)
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Prior to 17.4.8 and 17.10.1, an improperly protected scripting API allows any user with script right to bypass the sandboxing of the Velocity scripting API and execute, e.g., arbitrary Python scripts, allowing full access to the XWiki instance and thereby compromising the confidentiality, integrity and availability of the whole instance. Note that script right already constitutes a high level of access that we don't recommend giving to untrusted users. This vulnerability is fixed in 17.4.8 and 17.10.1.
Характеристики атаки
Последствия
Строка CVSS v4.0