XWiki Platform — это универсальная платформа вики, предлагающая службы времени выполнения для приложений, построенных на ее основе. Когда у…

XWiki Platform — это универсальная платформа вики, предлагающая службы времени выполнения для приложений, построенных на ее основе. Когда установка XWiki обновляется и это обновление содержит исправление ошибки в документе, просто добавляется новая версия этого документа. В некоторых случаях все еще возможно использовать уязвимость, которая была исправлена в новой версии. Серьезность этого зависит от исправленной уязвимости, для целей этого уведомления возьмите CVE-2022-36100/GHSA-2g5c-228j-p52x в качестве примера — ее легко использовать, имея только права просмотра, и она является критической. Когда XWiki обновляется с версии до исправления (например, 14.3) до версии, включающей исправление (например, 14.4), уязвимость все еще можно воспроизвести, добавив `rev=1.1` к URL-адресу, используемому в шагах воспроизведения, поэтому удаленное выполнение кода возможно даже после обновления. Следовательно, это влияет на конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость также затрагивает вручную добавленные макросы сценариев, которые содержали уязвимости безопасности, которые были позже исправлены путем изменения макроса сценария без удаления версий с уязвимостью безопасности из истории. Эта уязвимость не затрагивает свежеустановленные версии XWiki. Кроме того, эта уязвимость не затрагивает контент, который загружается только из текущей версии документа, например код макросов вики или расширений пользовательского интерфейса. Эта уязвимость была исправлена в XWiki 14.10.7 и 15.2RC1 путем принудительного выполнения старых версий в ограниченном режиме, который отключает все макросы сценариев. В качестве обходного пути администраторы могут вручную удалить старые версии затронутых документов. Скрипт можно использовать для идентификации всех установленных документов и удаления истории для них. Однако эта уязвимость также может затрагивать код, добавленный вручную и позже исправленный, поэтому легко пропустить документы.