یک آسیبپذیری با شناسه CVE-2024-37899 و شدت 9.0 (بحرانی) در پلتفرم Xwiki کشف شده است. Xwiki پلتفرم ویکی متن باز عمومی است که سرویسهای زمان اجرا را برای برنامهها ارائه میکند. هنگامی که کاربر admin، یک حساب کاربری را غیرفعال میکند نمایه (پروفایل) کاربر با دسترسیهای admin اجرا میشود و این امکان را برای مهاجم فراهم میکند تا قبل از اینکه adminحساب کاربری را غیرفعال کند، کدهای مخرب را در نمایه کاربر قرار دهد. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین میباشد (PR:L) و به تعامل با کاربر نیاز دارد(UI:R)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، در بدترین شرایط هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر و توصیه امنیتی
این آسیبپذیری نسخههای زیر را تحت تاثیر قرار میدهد:
منابع خبر:
[1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-j584-j2vj-3f93
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-37899
- 71