SOC News: Article

One Article Review

Accueil - L'article:

Source	CVE Liste
Identifiant	8406851
Date de publication	2023-11-06 19:15:09 (vue: 2023-11-06 22:09:08)
Titre	CVE-2023-46732
Texte	La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.Xwiki est vulnérable aux scripts transversaux réfléchis (RXSS) via le paramètre `Rev` utilisé dans le contenu du menu de contenu sans échapper.Si un attaquant peut convaincre un utilisateur de visiter un lien avec un paramètre fabriqué, cela permet à l'attaquant d'exécuter des actions arbitraires au nom de l'utilisateur, y compris l'exécution du code distant (Groovy) dans le cas d'un utilisateur à correction de programmation, compromettant leConfidentialité, intégrité et disponibilité de toute l'installation de Xwiki.Cela a été corrigé dans Xwiki 15.6 RC1, 15.5.1 et 14.10.14.Le correctif de la validation `04E325D57` peut être appliqué manuellement sans mettre à niveau (ou redémarrer) l'instance.Il est conseillé aux utilisateurs de mettre à niveau ou d'appliquer manuellement le correctif.Il n'y a pas de solution de contournement connu pour cette vulnérabilité. XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki is vulnerable to reflected cross-site scripting (RXSS) via the `rev` parameter that is used in the content of the content menu without escaping. If an attacker can convince a user to visit a link with a crafted parameter, this allows the attacker to execute arbitrary actions in the name of the user, including remote code (Groovy) execution in the case of a user with programming right, compromising the confidentiality, integrity and availability of the whole XWiki installation. This has been patched in XWiki 15.6 RC1, 15.5.1 and 14.10.14. The patch in commit `04e325d57` can be manually applied without upgrading (or restarting) the instance. Users are advised to upgrade or to manually apply the patch. There are no known workarounds for this vulnerability.
Envoyé	Oui
Condensat	2023 46732 `04e325d57` `rev` actions advised allows applications applied apply arbitrary are attacker availability been built can case code commit compromising confidentiality content convince crafted cross cve escaping execute execution generic groovy has including installation instance integrity known link manually menu name offering parameter patch patched platform programming rc1 reflected remote restarting right runtime rxss scripting services site top upgrade upgrading used user users visit vulnerability vulnerable whole wiki without workarounds xwiki
Tags	Vulnerability
Stories
Notes
Move

L'article ne semble pas avoir été repris aprés sa publication.

L'article ne semble pas avoir été repris sur un précédent.