XWiki opravuje kritickou zranitelnost

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] XWiki opravuje kritickou zranitelnost

XWiki verzemi 16.0.0, 15.5.5, 15.10.6 a 14.10.2 opravuje kritickou zranitelnost [1].

XWiki - RCE (CVE-2024-37899) CVSS 9.0 (Critical)

Autentizovanému vzdálenému útočníkovi je umožněno vložit škodlivý kód do uživatelského profilu předtím, než admin deaktivuje uživatelský účet [1].

Zranitelnost se nachází v produktu XWiki ve verzích (>= 13.4.7 AND < 13.5) OR (>= 13.10.3 AND < 14.10.21) OR (>= 15.0-rc-1 AND < 15.5.5) OR (>= 15.6-rc-1 AND < 15.10.6) OR (>= 16.0.0-rc-1 AND < 16.0.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Více informací:

CVE-2024-37899 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-266: Incorrect Privilege Assignment at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 6. 2024.

Odkazy

[1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-j584-j2vj-3f93

Za CESNET-CERTS Michaela Mačalíková dne 21. 6. 2024.

Zpětná vazba k reportu

[TLP:CLEAR] XWiki opravuje kritickou zranitelnost

XWiki - RCE (CVE-2024-37899) CVSS 9.0 (Critical)

Odkazy