目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2022-36098— XWiki Platform 跨站脚本漏洞

CVSS 8.9 · High EPSS 71.04% · P99
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2022-36098の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
XWiki Platform Mentions UI vulnerable to Cross-site Scripting
ソース: NVD (National Vulnerability Database)
脆弱性説明
XWiki Platform Mentions UI is a user interface for mentioning users in wiki content for XWiki Platform, a generic wiki platform. Starting in version 12.5-rc-1 and prior to versions 13.10.6 and 14.4, it's possible to store Javascript or groovy scripts in a mention, macro anchor, or reference field. The stored code is executed by anyone visiting the page with the mention. This issue has been patched on XWiki 14.4 and 13.10.6. As a workaround, one may update `XWiki.Mentions.MentionsMacro` and edit the `Macro code` field of the `XWiki.WikiMacroClass` XObject.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
XWiki Platform 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
XWiki Platform是法国XWiki公司的一套用于创建Web协作应用程序的Wiki平台。 XWiki Platform 13.10.6之前版本和14.4之前版本存在跨站脚本漏洞,该漏洞源于可以将Javascript或groovy脚本存储在提及、宏锚或参考字段中,存储的代码可以被任何访问该提及页面的人执行。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
xwikixwiki-platform >= 12.5-rc-1, < 13.10.6 -

II. CVE-2022-36098の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2022-36098のインテリジェンス情報

登录查看更多情报信息。

CVE-2022-36098 补丁与修复 (2)

CVE-2022-36098 厂商安全公告 (1)

CVE-2022-36098 其他参考 (1)

Same Patch Batch · xwiki · 2022-09-08 · 11 CVEs total

CVE-2022-361009.9 CRITICALXWiki Platform Applications Tag and XWiki Platform Tag UI vulnerable to Eval Injection
CVE-2022-360999.9 CRITICALXWiki Platform Wiki UI Main Wiki Eval Injection vulnerability
CVE-2022-360978.9 HIGHXWiki Platform Attachment UI vulnerable to cross-site scripting in the move attachment for
CVE-2022-360968.9 HIGHXWiki Platform vulnerable to Cross-site Scripting in the deleted attachments list
CVE-2022-360948.9 HIGHXWiki Platform Web Parent POM vulnerable to XSS in the attachment history
CVE-2022-360938.5 HIGHXWiki Platform Web Templates vulnerable to Unauthorized User Registration Through the Dist
CVE-2022-360908.1 HIGHorg.xwiki.platform:xwiki-platform-oldcore Improper Authorization check for inactive users
CVE-2022-360927.5 HIGHXWiki Platform Old Core vulnerable to Authentication Bypass Using the Login Action
CVE-2022-360917.5 HIGHXWiki Platform Web Templates vulnerable to Missing Authorization and Exposure of Private P
CVE-2022-360954.3 MEDIUMXWiki Cross-Site Request Forgery (CSRF) for actions on tags

IV. 関連脆弱性

V. CVE-2022-36098へのコメント

まだコメントはありません


コメントを残す