XWiki представляет собой универсальную wiki-платформу. При редактировании содержимого, содержащего "опасные" макросы, подобные злоумышленны…

XWiki представляет собой универсальную wiki-платформу. При редактировании содержимого, содержащего "опасные" макросы, подобные злоумышленным скриптовым макросам, созданным пользователем с меньшими правами, XWiki предупреждает о выполнении этих макросов с версии 15.9RC1. Анализаторы требуемых прав, вызывающие эти предупреждения, являются неполными, что позволяет злоумышленнику скрыть вредоносное содержимое. Для большинства макросов существующие анализаторы не учитывают параметры, не написанные в нижнем регистре. Более того, большинство параметров макросов, которые могут содержать синтаксис XWiki, например, заголовки информационных блоков, не были проанализированы вовсе. Аналогично, параметры "source" макросов содержимого и контекста не были проанализированы, хотя они могли содержать произвольный синтаксис XWiki. В худшем случае это могло позволить злоумышленнику добавить злоумышленные скриптовые макросы, включая макросы Groovy или Python, на страницу, которые затем выполняются после редактирования страницы другим пользователем с правами программирования, что позволяет выполнить удаленное выполнение кода. Анализаторы требуемых прав были сделаны более надежными и расширены для покрытия этих случаев в XWiki 16.4.7, 16.10.3 и 17.0.0. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-c32m-27pj-4xcj - [2] https://github.com/xwiki/xwiki-platform/commit/0a705e8e253cb871b804e25c53b2bde879c886bd - [3] https://github.com/xwiki/xwiki-platform/commit/3d451e957fe2b14459e9ac64172b4a0e4c46971c - [4] https://github.com/xwiki/xwiki-platform/commit/abdcefc0db27035b67329add836fd683e0cf92b8 - [5] https://github.com/xwiki/xwiki-platform/commit/cc74dc802efe0e2d3fa2ba3355dbadc51c5fd8c7