Anca Luca

**Nome do software vulnerável e versões afetadas** Versões 11.3.7 a 12.0RC1 do XWiki Platform Old Core Versão 11.0.3 do XWiki Platform Old Core **Descrição** Um bug na resolução de grupos pelo XWikiRights pode ser explorado para obter escalonamento de privilégios. A edição de um direito com o editor de objetos leva à adição de um valor vazio suplementar aos grupos, que é então resolvido como uma referência à página XWiki.WebHome. A adição de um xobject XWikiGroup a essa página transforma-a em um grupo, e qualquer usuário colocado nesse grupo obteria então os privilégios relacionados ao direito editado. Esse problema é normalmente mitigado pelo fato de que a XWiki.WebHome deve estar protegida por padrão contra direitos de edição. **Recomendações** Para as versões 11.3.7 a 12.0RC1 do XWiki Platform Old Core, atualize para a versão 13.10.4 ou posterior para corrigir o problema. Para a versão 11.0.3 do XWiki Platform Old Core, atualize para a versão 13.10.4 ou posterior para corrigir o problema. Como solução temporária, defina os direitos apropriados na página XWiki.WebHome para impedir que os usuários a editem.