BDU:2023-05270: Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с непринятием мер по нейтрализации инструкций в динамически исполняемом коде. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, выполнить произвольный код
Вендор Сообщество свободного программного обеспечения
Наименование ПО XWiki Platform
Версия ПО 15.0rc1, 15.0, 4.3milestone2, от 4.3.1 до 14.10.5
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Непринятие мер по нейтрализации инструкций в динамически исполняемом коде (Внедрение Eval)
Идентификатор типа ошибки CWE-95
Класс уязвимости Уязвимость кода
Дата выявления 23.08.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-5mf8-v43w-mfxp

https://jira.xwiki.org/browse/XWIKI-7369

https://github.com/xwiki/xwiki-platform/commit/dfb1cde173e363ca5c12eb3654869f9719820262
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются