XWiki Platform — это универсальная вики-платформа, предлагающая службы времени выполнения для приложений, построенных на ее основе. Любой п…
XWiki Platform — это универсальная вики-платформа, предлагающая службы времени выполнения для приложений, построенных на ее основе. Любой пользователь, знающий ID предпочтения фильтра уведомлений другого пользователя, может включить/отключить его или даже удалить. В результате целевой пользователь может начать терять уведомления на некоторых страницах. Эта уязвимость присутствует в XWiki с версии 13.2-rc-1. Эта уязвимость была исправлена в XWiki 14.10.21, 15.5.5, 15.10.1, 16.0-rc-1. Исправление заключается в правильной проверке прав пользователя перед выполнением каких-либо действий над фильтрами. Пользователям рекомендуется обновиться. Можно исправить уязвимость вручную, отредактировав документ `XWiki.Notifications.Code.NotificationPreferenceService`, чтобы применить изменения, внесенные в коммите e8acc9d8e6af7dfbfe70716ded431642ae4a6dd4.
Программный продукт не соблюдает требования API к вызову функции, требующей повышенных привилегий. Это может позволить злоумышленникам получить привилегии, спровоцировав некорректный вызов функции.
https://cwe.mitre.org/data/definitions/648.html →Открыть в коллекции CWE →Межсайтовая трассировка (XST) позволяет злоумышленнику похитить cookie сессии жертвы и, возможно, другие учётные данные аутентификации, передаваемые в заголовке HTTP-запроса при взаимодействии браузера жертвы с веб-сервером целевой системы.
https://capec.mitre.org/data/definitions/107.html →Открыть в коллекции CAPEC →Злоумышленник получает контроль над процессом, которому в операционной системе назначены повышенные привилегии, для выполнения произвольного кода с этими привилегиями. Некоторым процессам в операционной системе назначаются повышенные привилегии — как правило, посредством связи с определённым пользователем, группой или ролью. Если злоумышленник может захватить данный процесс, он получает возможность принять его уровень привилегий для выполнения собственного кода.
https://capec.mitre.org/data/definitions/234.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| xwiki | * | Отслеживается |