Xwiki · Xwiki · CVE-2022-24897
**Nome do software vulnerável e versões afetadas**
Versões do XWiki 2.3 a 12.6.6
Versões do XWiki 12.7.0 a 12.10.2
Versões do XWiki 13.0.0 a 13.0.0 anteriores à 13.0RC1
**Descrição**
Os scripts Velocity não estão devidamente isolados em sandbox contra o uso da API Java File para realizar operações de leitura ou gravação no sistema de arquivos. Escrever um script de ataque em Velocity requer direitos de script no XWiki e também exige encontrar uma API do XWiki que retorne um objeto File.
**Recomendações**
Para as versões 2.3 a 12.6.6, atualize para a versão 12.6.7 ou posterior.
Para as versões 12.7.0 a 12.10.2, atualize para a versão 12.10.3 ou posterior.
Para as versões 13.0.0 a 13.0.0 anteriores à 13.0RC1, atualize para a versão 13.0RC1 ou posterior.
Como medida de mitigação geral, tenha cuidado ao conceder direitos de Script no XWiki.