Приложение XWiki Admin Tools предоставляет инструменты для облегчения администрирования XWiki. Начиная с версии 4.4 и до версии 4.5.1, уязв…

Приложение XWiki Admin Tools предоставляет инструменты для облегчения администрирования XWiki. Начиная с версии 4.4 и до версии 4.5.1, уязвимость межсайтовой подделки запросов в инструменте администрирования для выполнения shell-команд на сервере позволяет злоумышленнику выполнять произвольные shell-команды, обманом заставляя администратора загрузить URL-адрес с shell-командой. Очень простой возможностью для атаки являются комментарии. Когда злоумышленник может оставить комментарий на любой странице вики, достаточно включить изображение с URL-адресом, например `/xwiki/bin/view/Admin/RunShellCommand?command=touch%20/tmp/attacked` в комментарий. Когда администратор просматривает комментарий, на сервере будет создан файл `/tmp/attacked`. Вывод команды также уязвим для инъекций синтаксиса XWiki, что предлагает простой способ выполнения Groovy в контексте установки XWiki и, таким образом, еще более простой способ поставить под угрозу целостность и конфиденциальность всей установки XWiki. Эта проблема была исправлена путем добавления проверки токена формы в версии 4.5.1 инструментов администрирования. Доступны некоторые обходные пути. Исправление можно применить вручную к затронутым страницам вики. Альтернативно, документ `Admin.RunShellCommand` также можно удалить, если возможность выполнения shell-команд не требуется.