Platform

Die Schwachstelle betrifft die XWiki Platform, eine generische Wiki-Plattform, die als Laufzeitumgebung für darauf aufbauende Anwendungen dient. Der Defekt liegt in der Suchfunktion SolrSearch: Beim Verarbeiten einer entsprechend präparierten Anfrage wertet die Plattform eingeschleusten Code aus (Eval-Injection). Ein als unangemeldeter Gast auftretender Angreifer kann allein durch das Aufrufen einer manipulierten Such-URL eigenen Programmcode auf dem Server ausführen lassen. Da hierfür weder ein Konto noch eine Anmeldung nötig ist, steht der Angriffsweg überall offen, wo die Wiki-Instanz erreichbar ist. Über die so erzwungene Codeausführung erhält der Angreifer die Kontrolle über die Installation: Betroffen sind Vertraulichkeit, Integrität und Verfügbarkeit der gesamten XWiki-Umgebung, also der dort gespeicherten Inhalte ebenso wie der Betrieb des Systems selbst. Gefährdet sind alle Betreiber, deren XWiki-Instanz ohne Schutzvorkehrungen aus dem Netz zugänglich ist.