XWiki является универсальной платформой wiki. В версиях с 4.5.1 до 15.10.13, с 16.0.0-rc-1 до 16.4.4, и с 16.5.0-rc-1 до 16.8.0-rc-1 служба…
XWiki является универсальной платформой wiki. В версиях с 4.5.1 до 15.10.13, с 16.0.0-rc-1 до 16.4.4, и с 16.5.0-rc-1 до 16.8.0-rc-1 служба Solr script не учитывает отозванные права программирования. Это может позволить пользователю со скриптовыми правами вызвать высокую нагрузку или временно удалить документы из поискового индекса. Подробности и исправления доступны на GitHub [1]. Исправленные версии: 15.10.13, 16.4.4 и 16.8.0-rc-1. Для воспроизведения уязвимости пользователь с правами программирования может добавить следующую строку в страницу: {{velocity}} $xcontext.dropPermissions() $services.solr.index('document:xwiki:Main.WebHome') {{/velocity}} Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-987p-r3jc-8c8v
Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| xwiki | * | Отслеживается |