CVE-2022-24900

MITJÀ: (4.9)

CVSS6: 4.3

XWiki Commons podria permetre a un atacant remot autenticat obtenir informació sensible, causada per una restricció inadequada de referències XXE al servei de scripts XML. Un atacant podria explotar aquesta vulnerabilitat per obtenir informació sensible de qualsevol fitxer al final de l’usuari que executa el servidor d’aplicacions XWiki i utilitzar aquesta informació per llançar nous atacs contra el sistema afectat.

Sistemes Afectats

• XWiki XWiki Commons 2.7
• XWiki XWiki Commons 13.4.3
• XWiki XWiki Commons 13.7
• XWiki XWiki Commons 12.10.9

Remediació
Actualitzeu a l’última versió de XWiki Commons (14.3 o posterior), disponible des del lloc web XWiki. Vegeu Referències.

Referències

• https://github.com/xwiki/xwiki-commons/security/advisories/GHSA-m2r5-4w96-qxg5
• http://commons.xwiki.org/xwiki/bin/view/Main/WebHome
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24898