Xwiki-platform-search-ui
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.75575
Распределение по критичности
Критический
1
Высокий
2
Средний
0
Низкий
0
Затронутые диапазоны версий
15.6-rc-1–15.10.22.4-milestone-1–14.10.205.2-milestone-2–14.10.20
Топ уязвимостей
CVE-2024-31982Платформа XWiki является универсальной платформой вики. Начиная с версии 2.4-milestone-1 и до версий 4.10.20, 15.5.4 и 15.10-rc-1, поисковая функция базы данных XWiki позволяет удаленное выполнение кода через текст поиска. Это дает возможность удаленного выполнения кода для любого посетителя публичной вики или пользователя закрытой вики, так как поиск по базе данных по умолчанию доступен для всех пользователей. Это затрагивает конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.20, 15.5.4 и 15.10RC1. В качестве обходного пути можно вручную применить исправление к странице `Main.DatabaseSearch`. В противном случае, если поиск в базе данных явно не используется пользователями, эту страницу можно удалить, так как она не является интерфейсом поиска по умолчанию в XWiki.
CVE-2024-37901XWiki Platform — это универсальная вики-платформа, предлагающая службы времени выполнения для приложений, построенных на ее основе. Любой пользователь с правом редактирования любой страницы может выполнить произвольное удаленное выполнение кода, добавляя экземпляры `XWiki.SearchSuggestConfig` и `XWiki.SearchSuggestSourceClass` в свой профиль пользователя или на любую другую страницу. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.21, 15.5.5 и 15.10.2.
CVE-2024-31465XWiki Platform — это универсальная платформа вики. Начиная с версии 5.0-rc-1 и до версий 14.10.20, 15.5.4 и 15.9-rc-1, любой пользователь с правом редактирования на любой странице может выполнить любой код на сервере, добавив объект типа `XWiki.SearchSuggestSourceClass` в свой профиль пользователя или на любую другую страницу. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.20, 15.5.4 и 15.10 RC1. В качестве обходного пути вручную примените исправление к документу `XWiki.SearchSuggestSourceSheet`.