Уязвимость BDU:2022-04280

Идентификатор: BDU:2022-04280.

Наименование уязвимости: Уязвимость XWiki Crypto API-интерфейса платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость XWiki Crypto API-интерфейса платформы создания совместных веб-приложений XWiki Platform связана с генерацией сертификатов X509, подписанных по умолчанию с использованием SHA1. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем XWiki Platform до 13.10.6 | Прикладное ПО информационных систем XWiki Platform от 14.0 до 14.3.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 05.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/commit/26728f3f23658288683667a5182a916c7ecefc52
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-h8v5-p258-pqf4.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-29161.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/xwiki/xwiki-platform/commit/26728f3f23658288683667a5182a916c7ecefc52
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-h8v5-p258-pqf4
https://jira.xwiki.org/browse/XWIKI-19676