One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8406850 |
| Date de publication | 2023-11-06 19:15:09 (vue: 2023-11-06 22:09:08) |
| Titre | CVE-2023-46731 |
| Texte | La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.Xwiki n'échappe pas correctement au paramètre URL de section utilisé dans le code pour afficher les sections d'administration.Cela permet à tout utilisateur d'avoir un accès en lecture au document `xwiki.adminsheet '(par défaut, tout le monde, y compris les utilisateurs non authentifiés) pour exécuter du code, y compris le code Groovy.Cela a un impact sur la confidentialité, l'intégrité et la disponibilité de toute l'instance Xwiki.Cette vulnérabilité a été corrigée dans Xwiki 14.10.14, 15.6 RC1 et 15.5.1.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs UNALR à mettre à niveau peuvent appliquer le correctif dans la validation manuellement `FEC8E0E53F9`.Alternativement, pour protéger contre les attaques contre les utilisateurs non authentifiés, la bonne affaire des invités peut être supprimée de ce document (elle n'est nécessaire que pour l'espace et les administrateurs de wiki).
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki doesn\'t properly escape the section URL parameter that is used in the code for displaying administration sections. This allows any user with read access to the document `XWiki.AdminSheet` (by default, everyone including unauthenticated users) to execute code including Groovy code. This impacts the confidentiality, integrity and availability of the whole XWiki instance. This vulnerability has been patched in XWiki 14.10.14, 15.6 RC1 and 15.5.1. Users are advised to upgrade. Users unablr to upgrade may apply the fix in commit `fec8e0e53f9` manually. Alternatively, to protect against attacks from unauthenticated users, view right for guests can be removed from this document (it is only needed for space and wiki admins). |
| Envoyé | Oui |
| Condensat | 2023 46731 `fec8e0e53f9` `xwiki access administration admins adminsheet` advised against allows alternatively any applications apply are attacks availability been built can code commit confidentiality cve default displaying document doesn escape everyone execute fix from generic groovy guests has impacts including instance integrity manually may needed offering only parameter patched platform properly protect rc1 read removed right runtime section sections services space top unablr unauthenticated upgrade url used user users view vulnerability whole wiki xwiki |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.