One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8350814 |
| Date de publication | 2023-06-29 21:15:09 (vue: 2023-06-29 23:07:17) |
| Titre | CVE-2023-36469 |
| Texte | La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.Tout utilisateur qui peut modifier son propre profil utilisateur et paramètres de notification peut exécuter des macros de script arbitraire, y compris les macros Groovy et Python qui permettent l'exécution de code distant, y compris l'accès à lecture et à écrire sans restriction à tous les contenus du wiki.Cela a été corrigé dans Xwiki 14.10.6 et 15.2RC1.Il est conseillé aux utilisateurs de mettre à jour.En tant que solution de contournement, la principale correction de sécurité peut être appliquée manuellement en corrigeant le document affecté `xwiki.notifications.code.notificationRssService`.Cela brisera le lien vers les différences, mais cela nécessite des modifications supplémentaires dans les modèles de vitesse comme indiqué dans le patch.Bien que le modèle par défaut soit disponible dans l'instance et puisse être facilement corrigé, le modèle de mentions est contenu dans un fichier `.jar` et ne peut donc pas être fixé sans remplacer ce pot.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user who can edit their own user profile and notification settings can execute arbitrary script macros including Groovy and Python macros that allow remote code execution including unrestricted read and write access to all wiki contents. This has been patched in XWiki 14.10.6 and 15.2RC1. Users are advised to update. As a workaround the main security fix can be manually applied by patching the affected document `XWiki.Notifications.Code.NotificationRSSService`. This will break the link to the differences, though as this requires additional changes to Velocity templates as shown in the patch. While the default template is available in the instance and can be easily patched, the template for mentions is contained in a `.jar`-file and thus cannot be fixed without replacing that jar. |
| Envoyé | Oui |
| Condensat | 2023 2rc1 36469 `xwiki access additional advised affected all allow any applications applied arbitrary are available been break built can cannot changes code contained contents cve default differences document easily edit execute execution file fix fixed generic groovy has including instance jar jar` link macros main manually mentions notification notificationrssservice` notifications offering own patch patched patching platform profile python read remote replacing requires runtime script security services settings shown template templates though thus top unrestricted update user users velocity who wiki will without workaround write xwiki |
| Tags | Patching |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.