کشف آسیب‌پذیری در پلتفرم Xwiki

کشف آسیب‌پذیری در پلتفرم Xwiki

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-37899 و شدت 9.0 (بحرانی) در پلتفرم Xwiki کشف شده است. Xwiki پلتفرم ویکی متن باز عمومی است که سرویس‌های زمان اجرا را برای برنامه‌ها ارائه می‌کند. هنگامی که کاربر admin، یک حساب کاربری را غیرفعال می‌کند نمایه (پروفایل) کاربر با دسترسی‌های admin اجرا می‌شود و این امکان را برای مهاجم فراهم می‌کند تا قبل از اینکه  adminحساب کاربری را غیرفعال کند، کد‌های مخرب را در نمایه کاربر قرار دهد. بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می‌باشد (PR:L) و به تعامل با کاربر نیاز دارد(UI:R)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)، در بدترین شرایط هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر و توصیه امنیتی
این آسیب‌پذیری نسخه‌های زیر را تحت تاثیر قرار می‌دهد:

Xwiki

منابع خبر:


[1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-j584-j2vj-3f93
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-37899