XWiki Platform Veiligheidsupdate

In een recente veiligheidsupdate heeft XWiki meerdere kwetsbaarheden in haar platform opgelost. Deze kwetsbaarheden betroffen met name de manier waarop het systeem omging met gebruikersrechten, wat een potentiële opening vormde voor kwaadwillende gebruikers om ongeoorloofde acties uit te voeren.

Overzicht van de Kwetsbaarheden

De kwetsbaarheden die nu zijn aangepakt in de versies 15.10.9 en 16.3.0 van de XWiki Platform omvatten:

1. Ontbrekende Autorisatie: Gebruikers konden zonder juiste rechten toegang krijgen tot bepaalde functies.
2. Onjuiste Neutralisatie van Directieven in Statisch Opslagen Code (‘Static Code Injection’): Kwaadwillige gebruikers konden schadelijke code injecteren.
3. Foutieve Autorisatie: Onvoldoende controlemechanismen stelden gebruikers in staat om acties uit te voeren die normaal gesproken beperkt zouden moeten zijn.

Kwaadwillenden met programmeerrechten konden gebruikmaken van de Extension Repository Application om code uit te voeren, wat het hele systeem in gevaar kon brengen.

Wat U Moet Weten

Als u een gebruiker bent van de XWiki Platform, is het essentieel om ervoor te zorgen dat uw systeem is bijgewerkt naar de gepatchte versies 15.10.9 of 16.3.0. Deze updates bestaan uit essentiële beveiligingsoplossingen die voorkomen dat de hierboven genoemde kwetsbaarheden door kwaadwilligen kunnen worden benut.

Oplossingen

XWiki heeft updates uitgebracht om deze kwetsbaarheden effectief aan te pakken. Voor meer gedetailleerde informatie en toegang tot de updates kunt u de volgende links raadplegen:

• XWIKI-21207
• XWIKI-21890
• XWIKI-22030

Gerelateerde CVE’s

De kwetsbaarheden zijn gedocumenteerd onder de volgende Common Vulnerabilities and Exposures (CVE) identifiers:

• CVE-2024-55662
• CVE-2024-55877
• CVE-2024-55879

Disclaimer

Het gebruik van deze beveiligingsmededeling betekent instemming met de hier vermelde voorwaarden. De Nationale Cyber Security Centrum (NCSC) spant zich in om de informatie zo volledig en actueel mogelijk te houden, doch kunnen geen garanties geven voor de volledigheid of juistheid ervan. NCSC en de Staat zijn niet aansprakelijk voor enige schade voortvloeiend uit het gebruik van de adviezen. Op deze mededeling is Nederlands recht van toepassing en disputen worden voorgelegd aan de rechtbank te Den Haag.

Houd uw software up-to-date en blijf op de hoogte van de laatste beveiligingsadviezen om mogelijke veiligheidsrisico’s tot een minimum te beperken.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----