CVE-2022-41933
Plaintext storage of password in org.xwiki.platform:xwiki-platform-security-authentication-default
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. When the `reset a forgotten password` feature of XWiki was used, the password was then stored in plain text in database. This only concerns XWiki 13.1RC1 and newer versions. Note that it only concerns the reset password feature available from the "Forgot your password" link in the login view: the features allowing a user to change their password, or for an admin to change a user password are not impacted. This vulnerability is particularly dangerous in combination with other vulnerabilities allowing to perform data leak of personal data from users, such as GHSA-599v-w48h-rjrm. Note that this vulnerability only concerns the users of the main wiki: in case of farms, the users registered on subwiki are not impacted thanks to a bug we discovered when investigating this. The problem has been patched in version 14.6RC1, 14.4.3 and 13.10.8. The patch involves a migration of the impacted users as well as the history of the page, to ensure no password remains in plain text in the database. This migration also involves to inform the users about the possible disclosure of their passwords: by default, two emails are automatically sent to the impacted users. A first email to inform about the possibility that their password have been leaked, and a second email using the reset password feature to ask them to set a new password. It's also possible for administrators to set some properties for the migration: it's possible to decide if the user password should be reset (default) or if the passwords should be kept but only hashed. Note that in the first option, the users won't be able to login anymore until they set a new password if they were impacted. Note that in both options, mails will be sent to users to inform them and encourage them to change their passwords.
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. Cuando se utilizó la función "restablecer una contraseña olvidada" de XWiki, la contraseña se almacenó en texto plano en la base de datos. Esto sólo afecta a XWiki 13.1RC1 y versiones más recientes. Tenga en cuenta que solo se refiere a la función de restablecimiento de contraseña disponible en el enlace "Olvidó su contraseña" en la vista de inicio de sesión: las funciones que permiten a un usuario cambiar su contraseña o que un administrador cambie la contraseña de un usuario no se ven afectadas. Esta vulnerabilidad es particularmente peligrosa en combinación con otras vulnerabilidades que permiten realizar fugas de datos personales de los usuarios, como GHSA-599v-w48h-rjrm. Tenga en cuenta que esta vulnerabilidad sólo afecta a los usuarios de la wiki principal: en el caso de las granjas, los usuarios registrados en la subwiki no se ven afectados gracias a un error que descubrimos al investigar esto. El problema se solucionó en las versiones 14.6RC1, 14.4.3 y 13.10.8. El parche implica una migración de los usuarios afectados, así como del historial de la página, para garantizar que ninguna contraseña permanezca en texto plano en la base de datos. Esta migración también implica informar a los usuarios sobre la posible divulgación de sus contraseñas: de forma predeterminada, se envían automáticamente dos correos electrónicos a los usuarios afectados. Un primer correo electrónico para informar sobre la posibilidad de que se haya filtrado su contraseña y un segundo correo electrónico utilizando la función de restablecimiento de contraseña para pedirles que establezcan una nueva contraseña. También es posible que los administradores establezcan algunas propiedades para la migración: es posible decidir si la contraseña del usuario debe restablecerse (predeterminada) o si las contraseñas deben conservarse pero solo con hash. Tenga en cuenta que en la primera opción, los usuarios ya no podrán iniciar sesión hasta que establezcan una nueva contraseña si se vieron afectados. Tenga en cuenta que en ambas opciones se enviarán correos electrónicos a los usuarios para informarles y animarles a cambiar sus contraseñas.
CVSS Scores
SSVC
- Decision:-
Timeline
- 2022-09-30 CVE Reserved
- 2022-11-23 CVE Published
- 2024-06-15 EPSS Updated
- 2024-08-03 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-312: Cleartext Storage of Sensitive Information
- CWE-522: Insufficiently Protected Credentials
CAPEC
References (5)
| URL | Tag | Source |
|---|---|---|
| https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-599v-w48h-rjrm | Not Applicable |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Xwiki Search vendor "Xwiki" | Xwiki Search vendor "Xwiki" for product "Xwiki" | > 13.1 < 13.10.8 Search vendor "Xwiki" for product "Xwiki" and version " > 13.1 < 13.10.8" | - |
Affected
| ||||||
| Xwiki Search vendor "Xwiki" | Xwiki Search vendor "Xwiki" for product "Xwiki" | >= 14.0.0 < 14.4.3 Search vendor "Xwiki" for product "Xwiki" and version " >= 14.0.0 < 14.4.3" | - |
Affected
| ||||||
| Xwiki Search vendor "Xwiki" | Xwiki Search vendor "Xwiki" for product "Xwiki" | 13.1 Search vendor "Xwiki" for product "Xwiki" and version "13.1" | rc1 |
Affected
| ||||||