Autentizovanému vzdálenému útočníkovi je umožněno vydávat se za autora obsahu, který použil makro 'include' [1].

Zranitelnost se nachází v produktu xwiki-platform ve verzích >=1.5-milestone-2 AND <15.0-rc-1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

• CVE-2024-38369 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-863: Incorrect Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 24. 6. 2024.

Autentizovanému vzdálenému útočníkovi s právem editace na libovolné stránce je umožněno provést libovolné vzdálené spuštění kódu přidáním instancí 'XWiki.SearchSuggestConfig' a 'XWiki.SearchSuggestSourceClass' do svého uživatelského profilu nebo jiné stránky [2].

Zranitelnost se nachází v produktu xwiki-platform ve verzích (>=15.6-rc-1 AND <15.10.2) OR (>=15.0-rc-1 AND <15.5.5) OR (>=9.2-rc-1 AND <14.10.21).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

• CVE-2024-37901 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-862: Missing Authorization at cwe.mitre.org
• CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 31. 7. 2024.

Autentizovanému vzdálenému útočníkovi je umožněno spustit fragmenty JavaScriptu na straně druhého uživatele [3].

Zranitelnost se nachází v produktu xwiki-platform ve verzích (>=11.8-rc-1 AND <15.10.8) OR (>=16.0.0-rc-1 AND <16.3.0-rc-1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Více informací:

• CVE-2024-41947 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) at cwe.mitre.org

Zranitelnost byla veřejně oznámena 31. 7. 2024.

Autentizovanému vzdálenému útočníkovi je umožněno spustit škodlivý JavaScriptový kód [4].

Zranitelnost se nachází v produktu xwiki-platform ve verzích (>=4.2-milestone-3 AND <14.10.21) OR (>=15.0-rc-1 AND <15.5.5) OR (>=15.6-rc-1 AND <15.10.6) OR (>=16.0.0-rc-1 AND <16.0.0).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N

Více informací:

• CVE-2024-37900 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-96: Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 31. 7. 2024.

Autentizovanému vzdálenému útočníkovi s právem prohlížet, ale ne upravovat stránku v XWiki je umožněno stránku smazat a nahradit ji novým obsahem [5].

Zranitelnost se nachází v produktu xwiki-platform ve verzích (>=13.10.4 AND <14.0-rc-1) OR (>=14.2 AND <14.10.21) OR (>=15.0 AND <15.5.5) OR (>=15.6-rc-1 AND <15.10.6).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Více informací:

• CVE-2024-37898 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-862: Missing Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 31. 7. 2024.