皓月当空,明镜高悬
文末有图片更好保存(包含福利内容)~
漏洞名称:XWiki平台存在权限提升漏洞等多个漏洞
漏洞出现时间:2023年11月8日
影响等级:严重
影响版本:
全版本
漏洞说明:
在XWiki平台中,用户可以编写一个脚本,在该脚本中,任何速度内容都可以在任何其他文档内容作者的权限下执行。复制:作为一个拥有脚本但没有编程权限的用户,创建一个具有以下内容的文档:``{{velocity}}#set($main=$xwiki.getDocument('AppWithinMinutes.DynamicMessageTool'))$main.setTitle('$doc.getDocument().getContentAuthor()')$main.getPlainTitle(){/velocity}}``由于此API需要编程权限,而用户没有,预期的结果是“$doc.docdocument.authors.contentAuthor”(未执行脚本),不幸的是,由于存在安全漏洞,我们得到了“XWiki.supadmin”,该漏洞显示标题是使用未修改文档的权限执行的。
修复方式:
-
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmxw-c48h-2vf5
相关链接:
-
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmxw-c48h-2vf5
-
https://nvd.nist.gov/vuln/detail/CVE-2023-46244
原文始发于微信公众号(皓月当空w):【严重漏洞】【POC公开】XWiki平台存在权限提升漏洞等多个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论