Платформа XWiki представляет собой универсальную вики-платформу, предлагающую сервисы времени выполнения для приложений, созданных на ее ос…
Платформа XWiki представляет собой универсальную вики-платформу, предлагающую сервисы времени выполнения для приложений, созданных на ее основе. В версиях XWiki Platform Legacy Old Core и XWiki Platform Old Core от 9.8-rc-1 до 16.4.6, 16.5.0-rc-1 до 16.10.4 и 17.0.0-rc-1 до 17.1.0 любой пользователь с правами редактирования может создать XClass со свойством списка базы данных, ссылающимся на свойство пароля. При добавлении объекта этого XClass отображается содержимое этого свойства пароля. На практике, при стандартной настройке прав, это означает, что любой пользователь с учетной записью в вики может получить доступ к хэшам паролей всех пользователей, а также к другим свойствам пароля (с хэшированным или обычным хранением), которые находятся на страницах, доступных для просмотра пользователем. Эта проблема исправлена в версиях 16.4.7, 16.10.5 и 17.2.0-rc-1 [1]. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-r38m-cgpg-qj69 - [2] https://github.com/xwiki/xwiki-platform/commit/f2ca8649cba2ed3765061660bf5c7f801afa0b24 - [3] https://jira.xwiki.org/browse/XWIKI-22811
Продукт не предотвращает должным образом доступ к персональным данным лица со стороны субъектов, которые (1) не имеют явного разрешения на доступ к этой информации или (2) не имеют неявного согласия лица, о котором эти данные собраны.
https://cwe.mitre.org/data/definitions/359.html →Открыть в коллекции CWE →Злоумышленник создаёт чрезвычайно устойчивый cookie-файл, который сохраняется даже после того, как пользователь считает его удалённым. Cookie-файл хранится на машине жертвы более чем в десяти местах. Когда жертва очищает кэш cookie-файлов стандартными средствами браузера, эта операция удаляет cookie-файл из ряда мест, но не из всех. Вредоносный код затем воспроизводит cookie-файл из всех мест, где он не был удалён, во все возможные хранилища. В итоге у жертвы снова оказывается cookie-файл во всех исходных хранилищах. Иными словами, неудаление cookie-файла даже из одного места приводит к его восстановлению повсюду. Evercookie также сохраняется при смене браузера, поскольку некоторые хранилища (например, Local Shared Objects) являются общими для разных браузеров.
https://capec.mitre.org/data/definitions/464.html →Открыть в коллекции CAPEC →Злоумышленник собирает идентификационные данные о жертве через активную сессию, которую браузер жертвы поддерживает с социальной сетью. Жертва может держать социальную сеть открытой в одной из вкладок или использовать функцию «запомнить меня» для поддержания активной сессии. Злоумышленник внедряет полезную нагрузку, выполняющуюся в браузере жертвы и незаметно для неё инициирующую запрос к социальной сети (например, через доступные API социальной сети) с целью получения идентификационных данных жертвы. Хотя часть этих данных может быть публичной, злоумышленник получает её в контексте и может использовать для дальнейших атак на пользователя (например, целевого фишинга).
https://capec.mitre.org/data/definitions/467.html →Открыть в коллекции CAPEC →Злоумышленник анализирует снимки экрана, создаваемые iOS, с целью получения конфиденциальной информации. Данная атака нацелена на временные снимки экрана, создаваемые операционной системой в то время, когда приложение остаётся открытым в фоновом режиме.
https://capec.mitre.org/data/definitions/498.html →Открыть в коллекции CAPEC →При атаке подглядывания через плечо злоумышленник наблюдает за нажатиями клавиш, содержимым экрана или разговорами ничего не подозревающего человека с целью получения конфиденциальной информации. Одним из мотивов данной атаки является получение конфиденциальной информации о цели в финансовых, личных, политических или иных целях. С точки зрения инсайдерской угрозы дополнительным мотивом может быть получение учётных данных для системы/приложения или криптографических ключей. Атаки подглядывания через плечо осуществляются путём наблюдения за содержимым «через плечо жертвы», как следует из названия данной атаки.
https://capec.mitre.org/data/definitions/508.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| Отслеживается | ||
| xwiki | * | Отслеживается |