CSIRT Toscana XWiki: PoC pubblico per lo sfruttamento della CVE-2024-31982 (AL03/240625/CSIRT-ITA)
Data:
25 Giugno 2024 13:31
Sintesi
Disponibile un Proof of Concept (PoC) per la CVE-2024-31982 – già sanata dal vendor – presente in XWiki, nota piattaforma collaborativa open source.
Tale vulnerabilità interessa la funzione di ricerca nel database – accessibile di default a tutti gli utenti – che potrebbe permettere ad un utente malevolo l’esecuzione di codice da remoto.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (74,23/100)1.
Tipologia
- Remote Code Execution
Prodotti e versioni affette
XWiki
- dalla versione 2.4-milestone-1 alla 14.10.20 (esclusa)
- dalla versione 15.0-rc-1 alla 15.5.4 (esclusa)
- dalla versione 15.6-rc-1 alla 5.10-rc-1 (esclusa)
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.
Identificatori univoci vulnerabilità
Riferimenti
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-2858-8cfx-69m9
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.