Plataforma
java
Componente
org.xwiki.platform:xwiki-platform-oldcore
Corregido en
13.4.8
13.10.4
15.0.1
15.6.1
16.0.1
14.10.21
La vulnerabilidad CVE-2024-37899 es una ejecución remota de código (RCE) crítica que afecta a XWiki Platform. Un atacante puede aprovechar esta falla para ejecutar código malicioso con privilegios de administrador al manipular el perfil de usuario antes de que sea deshabilitado. Esta vulnerabilidad afecta a versiones anteriores a 14.10.21 y requiere una actualización inmediata para evitar la explotación.
Esta vulnerabilidad permite a un atacante, incluso sin permisos de script ni programación, inyectar código malicioso en la sección 'Acerca de' del perfil de usuario. Cuando un administrador deshabilita la cuenta del usuario, este código se ejecuta con los privilegios del administrador. Esto puede resultar en la toma de control completa del sistema XWiki, permitiendo al atacante ejecutar comandos arbitrarios, acceder a datos sensibles, modificar la configuración y potencialmente comprometer otros sistemas en la red. La ejecución con privilegios de administrador amplía significativamente el 'blast radius' de la vulnerabilidad, ya que el atacante puede escalar sus privilegios y moverse lateralmente dentro de la infraestructura.
Esta vulnerabilidad fue publicada el 20 de junio de 2024. Existe una prueba de concepto (PoC) disponible que demuestra la facilidad de explotación. Aunque no se ha confirmado la explotación activa en el mundo real, la alta severidad (CVSS 9) y la disponibilidad de un PoC sugieren un riesgo significativo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de campañas de explotación.
Organizations utilizing XWiki Platform Oldcore, particularly those with multiple administrators or shared administrative accounts, are at significant risk. Systems with legacy configurations or those lacking robust user access controls are especially vulnerable. Environments where user profiles are frequently modified or where user input is not adequately sanitized are also at increased risk.
• java / server:
ps aux | grep -i groovy• java / server:
find /opt/xwiki -name "*.groovy" -print• java / server:
journalctl -u xwiki -f | grep "attacker"disclosure
Estado del Exploit
EPSS
14.13% (94% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-37899 es actualizar XWiki Platform a la versión 14.10.21 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la funcionalidad de deshabilitar cuentas de usuario a un grupo limitado de administradores de confianza. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear intentos de inyección de código en los perfiles de usuario. Monitorear los logs de XWiki en busca de patrones sospechosos, como la ejecución de código Groovy inesperado, puede ayudar a identificar posibles ataques en curso.
Actualice XWiki Platform a la versión 14.10.21, 15.5.5, 15.10.6 o 16.0.0, o a una versión posterior. Esto corrige la vulnerabilidad que permite la ejecución remota de código al deshabilitar una cuenta de usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37899 is a critical Remote Code Execution vulnerability in XWiki Platform Oldcore versions before 14.10.21. Disabling a user account triggers execution of their profile with admin privileges, allowing malicious code injection.
You are affected if you are running XWiki Platform Oldcore versions prior to 14.10.21. Immediately check your version and upgrade if necessary.
Upgrade XWiki Platform Oldcore to version 14.10.21 or later. Back up your instance before upgrading.
Active exploitation is currently unconfirmed, but the critical severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official XWiki security advisory for detailed information and updates: [https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories](https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.