Xwiki · Xwiki Platform · CVE-2024-55663
**Nome do software vulnerável e versões afetadas**
Versões da XWiki Platform de 6.3-milestone-2 a 13.10.4
As versões da XWiki Platform de 11.10.6 a 14.3-rc-1 não precisam ser incluídas, pois já estão no intervalo acima; portanto, a versão final é:
As versões da Plataforma XWiki 6.3-milestone-2 a 13.10.4 e 14.3-rc-1 não são necessárias; a versão correta é
As versões da Plataforma XWiki 6.3-milestone-2 a 13.10.4
**Descrição**
A Plataforma XWiki é afetada por uma vulnerabilidade no modelo `getdocument.vm`, onde a ordem dos documentos retornados é definida a partir de um parâmetro de solicitação não sanitizado (`request.sort`), permitindo que qualquer usuário injete HQL. Dependendo do backend de banco de dados utilizado, um invasor pode obter informações confidenciais, como hashes de senhas, do banco de dados, e também executar consultas UPDATE/INSERT/DELETE.
**Recomendações**
Para as versões da Plataforma XWiki 6.3-milestone-2 a 13.10.4, atualize para a versão 13.10.5 ou posterior.
Para versões anteriores à 14.3-rc-1, atualize para a versão 14.3-rc-1 ou posterior.
Como solução temporária, considere desativar o modelo `getdocument.vm` até que um patch esteja disponível.
Restrinja o acesso ao modelo `getdocument.vm` para minimizar o risco de exploração.
Evite usar o parâmetro `request.sort` no modelo afetado até que o problema seja resolvido.