КиберосноваSGRC
BDU:2023-05140
Средний

BDU:2023-05140: Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с непринятием мер по нейтрализации альтернативного синтаксиса XSS, позволяющая нарушителю подменить отображаемый URL

CVSS v36.1
CVSS v26.4
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2023-05140

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с непринятием мер по нейтрализации альтернативного синтаксиса XSS. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, подменить отображаемый URL

Что делать с BDU:2023-05140

Уязвимость среднего уровня (CVSS 6.1) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
6.1Средний
Пересчитать →
v2
6.4
Только просмотр
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:NAV:N/AC:L/Au:N/C:P/I:P/A:N

CWE — тип уязвимости

CWE-87

CVE — международный идентификатор

CVE-2023-35156

Тактики и техники

Инъекция

Уязвимое ПО (4)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияXWiki Platform15.0Не указана
Сообщество свободного программного обеспеченияXWiki Platform6.0milestone2Не указана
Сообщество свободного программного обеспеченияXWiki Platform6.0milestone1Не указана
Сообщество свободного программного обеспеченияXWiki Platformот 6.0.1 до 14.10.6Не указана

Рекомендации по устранению

Использование рекомендаций: https://github.com/xwiki/xwiki-platform/commit/13875a6437d4525ac4aeea25918f2d2dffac9ee1 https://github.com/xwiki/xwiki-platform/commit/e80d22d193df364b07bab7925572720f91a8984a https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-834c-x29c-f42c https://jira.xwiki.org/browse/XWIKI-20672 https://github.com/xwiki/xwiki-platform/commit/24ec12890ac7fa6daec8d0b3435cfcba11362fd5 https://jira.xwiki.org/browse/XWIKI-20341 https://jira.xwiki.org/browse/XWIKI-20583

Источники (1)

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 6.1

Уточните SLA под вашу среду

Базовый балл 6.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации10.3%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2023-06-23

Опубликована

2023-09-04

Обновлена

2023-09-04

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2023-35156 MITRE: CWE-87 Каталог CPE (ФСТЭК) Реестр сертифицированных СЗИ ФСТЭК

Связанные уязвимости

BDU:2026-05293
Критический
8.6

Уязвимость платформы создания совместных веб-приложений XWiki Platform, связанная с отсутствием авторизации, позволяющая

BDU:2026-02020
Высокий
5.3

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю реализовать атаку т

BDU:2026-07302
Высокий
8.7

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с отсутствием авторизации, позво

BDU:2026-00973
Высокий
6.5

Уязвимость файла templates/logging_macros.vm платформы создания совместных веб-приложений XWiki Platform XWiki, позволяю

BDU:2026-05573
Средний
6.5

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с недостатками используемых мер

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0