Commons
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
9.9
Макс. EPSS
0.01378
Распределение по критичности
Критический
3
Высокий
0
Средний
2
Низкий
0
Затронутые диапазоны версий
14.6–14.10.62.7–12.10.103.2–13.10.94.3–14.10< 16.10.17
Также сопоставлено как (исходные строки): commons
Топ уязвимостей
CVE-2023-26055XWiki Commons - это технические библиотеки, общие для нескольких других проектов XWiki верхнего уровня. Начиная с версии 3.1-milestone-1, любой пользователь может редактировать свой собственный профиль и внедрять код, который будет выполняться с правами программирования. Та же уязвимость может быть использована во всех других местах, где отображаются свойства короткого текста, например, в приложениях, созданных с использованием Apps Within Minutes, которые используют поле короткого текста. Проблема была исправлена в версиях 13.10.9, 14.4.4, 14.7RC1.
CVE-2026-23734XWiki Platform - это универсальные вики-платформы. Версии до 18.1.0-rc-1, 17.10.3, 17.4.9 и 16.10.17 позволяют получать доступ к чтению конфигурационных файлов с помощью URL-адресов, таких как http://localhost:8080/bin/ssx/ssx/Main/WebHome?resource=./././WEB-INF/xwiki.cfg&minify=false, что приводит к Path Traversal. Уязвимость может быть использована с помощью параметров ресурсов ssx и jsx конечных точек с помощью ведущих срезов. Этот вопрос был исправлен в пунктах 18.1.0-rc-1, 17.10.3, 17.4.9, 16.10.17.
CVE-2023-29528XWiki Commons — это технические библиотеки, общие для нескольких других проектов XWiki верхнего уровня. "Ограниченный" режим очистки HTML в XWiki, представленный в версии 4.2-milestone-1 и значительно улучшенный в версии 14.6-rc-1, допускал внедрение произвольного HTML-кода и, следовательно, межсайтового скриптинга через недопустимые HTML-комментарии. Как следствие, любой код, полагающийся на этот "ограниченный" режим для обеспечения безопасности, уязвим для внедрения JavaScript ("межсайтовый скриптинг"/XSS). Когда привилегированный пользователь с правами программирования посещает такой комментарий в XWiki, вредоносный код JavaScript выполняется в контексте сеанса пользователя. Это позволяет выполнять код на стороне сервера с правами программирования, что влияет на конфиденциальность, целостность и доступность экземпляра XWiki. Эта проблема была исправлена в XWiki 14.10, HTML-комментарии теперь удаляются в ограниченном режиме, и была введена проверка, которая гарантирует, что комментарии не начинаются с `>`. Известных обходных путей, кроме обновления до версии, включающей исправление, не существует.
CVE-2023-36471Xwiki commons — это общие модули, используемые другими проектами верхнего уровня XWiki. Санитайзер HTML, который включен в XWiki с версии 14.6RC1, разрешал HTML-теги form и input. В контексте XWiki это позволяет злоумышленнику без прав сценария либо создавать формы, которые можно использовать для фишинговых атак, либо также в контексте листа злоумышленник может добавить ввод, например `{{html}}<input type="hidden" name="content" value="{{groovy}}println("Hello from Groovy!")" />{{/html}}`, что позволит удаленно выполнять код, когда он отправляется администратором (лист отображается как часть формы редактирования). Злоумышленнику нужно будет убедиться, что форма редактирования выглядит правдоподобно, что может быть непростой задачей, поскольку без прав сценария злоумышленник не может отобразить обычное содержимое документа. Эта проблема была исправлена в XWiki 14.10.6 и 15.2RC1 путем удаления центральных тегов, связанных с формой, из списка разрешенных тегов. Пользователям рекомендуется обновиться. В качестве обходного пути администратор может вручную запретить теги, добавив `form, input, select, textarea, button` к параметру конфигурации `xml.htmlElementSanitizer.forbidTags` в файле конфигурации `xwiki.properties`.
CVE-2022-24898org.xwiki.commons:xwiki-commons-xml — это общий модуль, используемый другими проектами верхнего уровня XWiki. Начиная с версии 2.7 и до версий 12.10.10, 13.4.4 и 13.8-rc-1, скрипт может получить доступ к любому файлу, получая доступ к пользователю, запускающему сервер приложений XWiki, с помощью внедрения внешних XML-сущностей через службу XML-скриптов. Проблема была исправлена в версиях 12.10.10, 13.4.4 и 13.8-rc-1. Не существует простого обходного пути для устранения этой уязвимости, кроме обновления и осторожности при предоставлении прав Script.