XWiki Platform 安全漏洞RCE:CVE-2023-37462

2023年7月14日,美国国家标准与技术研究院(NIST)维护的综合性漏洞数据库(NVD)第一次记录了这个漏洞,这个漏洞影响版本是从7.0到14.48(不包括)和从14.5到14.10.4(不包括)

XWiki Platform 安全漏洞RCE:CVE-2023-37462_第1张图片这篇文章对CVE-2023-37462漏洞进行复现,并对FOFA查询到的XWiki 平台进行漏洞检测并分析,以及如何去修复这个漏洞。

分析

(1)找关键信息:

通过Bing 和 Google 的大量搜索得到一些关键的验证信息,通过这个网址我们可以得到如何去复现org.xwiki.platform:xwiki-platform-skin-ui Eval Injection vulnerabilityicon-default.png?t=N7T8https://github.com/advisories/GHSA-h4vp-69r8-gvjg漏洞。根据文章所述,得到以下关键信息。

可以通过打开

/xwiki/bin/view/%22%5D%5D%20%7B%7Basync%20async%3D%22true%22%20cached%3D%22false%22%20context%3D%22doc.reference%22%7D%7D%7B%7Bgroovy%7D%7Dprintln(%22Hello%20%22%20%2B%20%22from%20groovy!%22)%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D?sheet=SkinsCode.XWikiSkinsSheet&xpage=view

 (2)找验证目标

根据网站相关搜索结果得知该网站首页在FOFA搜索规则如下:

body="data-xwiki-reference" && title="Home - XWiki"

XWiki Platform 安全漏洞RCE:CVE-2023-37462_第2张图片

 逐个点击测试,根据主页下方的版本来选择易受攻击的网站和已经解决问题的网站,然后分别在地址栏输入同样的URI,结果证实了上面的验证信息。同时也复现了漏洞。

存在漏洞的网站:

XWiki Platform 安全漏洞RCE:CVE-2023-37462_第3张图片

 修复了漏洞的网站:

XWiki Platform 安全漏洞RCE:CVE-2023-37462_第4张图片

 可能的广泛利用

将POC录入到Goby后,用Goby对FOFA查询出来的XWiki 平台进行自定义漏洞扫描,发现漏洞比率是11.76%

XWiki Platform 安全漏洞RCE:CVE-2023-37462_第5张图片

 攻击者可以通过打开一个不存在的页面来工作,该页面经过精心设计以包含危险的有效负载。利用文档“SkinsCode.XWikiSkinsSheet”中的不当转义,从而执行任意脚本宏,包括Groovy和Python宏,这些宏允许远程执行代码,包括对所有wiki内容的无限制读写访问。

根据FOFA查询的相关结果,我们列出了最有可能受到此漏洞攻击的国家和地区。

XWiki Platform 安全漏洞RCE:CVE-2023-37462_第6张图片

值得注意的是,结果里包含已经修复的网站和未修复的网站

结论

CVE-2023-37462 是一个典型的远程代码访问的RCE漏洞。CVSS 3.x严重性和指标中,NIST给出了8.8高的得分,中央通讯社给出了9.9严重的评分。于是很快,XWiki平台给出了他们的修复方案。

可以选择升级到XWiki 14.4.8、XWiki 14.10.4 和 XWiki 15.0-rc-1 版本。

XWIKI-20457: Improve escaping in SkinsCode.XWikiSkinsSheet · xwiki/xwiki-platform@d9c88dd (github.com)

上所示程序也可以手动应用于受影响的文档。SkinsCode.XwikiSkinsSheet 

你可能感兴趣的:(安全,web安全)