CVE-2024-26138

License information is public, exposing instance id and license holder details

Severity Score

5.3

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Attend

*SSVC

Descriptions

The XWiki licensor application, which manages and enforce application licenses for paid extensions, includes the document `Licenses.Code.LicenseJSON` that provides information for admins regarding active licenses. This document is public and thus exposes this information publicly. The information includes the instance's id as well as first and last name and email of the license owner. This is a leak of information that isn't supposed to be public. The instance id allows associating data on the active installs data with the concrete XWiki instance. Active installs assures that "there's no way to find who's having a given UUID" (referring to the instance id). Further, the information who the license owner is and information about the obtained licenses can be used for targeted phishing attacks. Also, while user information is normally public, email addresses might only be displayed obfuscated, depending on the configuration. This has been fixed in Application Licensing 1.24.2. There are no known workarounds besides upgrading.

La aplicación de licencia XWiki, que administra y aplica licencias de aplicaciones para extensiones pagas, incluye el documento `Licenses.Code.LicenseJSON` que proporciona información a los administradores sobre las licencias activas. Este documento es público y por lo tanto expone públicamente esta información. La información incluye la identificación de la instancia, así como el nombre, apellido y correo electrónico del propietario de la licencia. Esta es una filtración de información que no debería ser pública. La identificación de la instancia permite asociar datos sobre las instalaciones activas con la instancia concreta de XWiki. Las instalaciones activas garantizan que "no hay forma de encontrar quién tiene un UUID determinado" (refiriéndose a la identificación de la instancia). Además, la información sobre quién es el propietario de la licencia y la información sobre las licencias obtenidas se puede utilizar para ataques de phishing dirigidos. Además, aunque la información del usuario normalmente es pública, es posible que las direcciones de correo electrónico solo se muestren ofuscadas, según la configuración. Esto se ha solucionado en Licencias de aplicaciones 1.24.2. No se conocen workarounds aparte de la actualización.

*Credits: N/A

CVSS Scores

GitHubv3.1 5.3

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

None

Scope

Unchanged

Confidentiality

Low

Integrity

None

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:Attend

Exploitation

None

Automatable

Yes

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-02-14 CVE Reserved
2024-02-21 CVE Published
2024-02-22 EPSS Updated
2024-08-01 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-862: Missing Authorization

CAPEC

References (3)

URL	Tag	Source
https://extensions.xwiki.org/xwiki/bin/view/Extension/Active%20Installs%202%20API	X_refsource_misc
https://github.com/xwikisas/application-licensing/commit/d168fb88fc0d121bf95e769ea21c55c00bebe5a6	X_refsource_misc
https://github.com/xwikisas/application-licensing/security/advisories/GHSA-4hfp-m9gv-m753	X_refsource_confirm

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Xwikisas Search vendor "Xwikisas"		Application-licensing Search vendor "Xwikisas" for product "Application-licensing"				>= 1.0.0 < 1.24.2 Search vendor "Xwikisas" for product "Application-licensing" and version " >= 1.0.0 < 1.24.2"		en		Affected