Fabian Hafner

**Name of the Vulnerable Software and Affected Versions** XWiki Commons versions prior to 13.10.10 XWiki Commons versions prior to 14.4.4 XWiki Commons versions prior to 14.8RC1 **Description** It is possible to bypass the existing security measures put in place to avoid open redirect by using a redirect such as `//mydomain.com` (i.e. omitting the `http:`) or a URL such as `http:/mydomain.com`. **Recommendations** For versions prior to 13.10.10, update to version 13.10.10 or later. For versions prior to 14.4.4, update to version 14.4.4 or later. For versions prior to 14.8RC1, update to version 14.8RC1 or later. As a temporary workaround, consider providing a patched jar of xwiki-platform-oldcore containing the necessary changes.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform anteriores à 13.10.8 Versões da XWiki Platform anteriores à 14.4.3 Versões da XWiki Platform anteriores à 14.6 **Descrição** O endpoint de REST `modifications` não filtra entradas de acordo com os direitos do usuário, expondo informações ocultas de usuários não autorizados, como comentários e nomes de páginas. **Recomendações** Para versões anteriores à 13.10.8, atualize para o XWiki 13.10.8 ou posterior. Para versões anteriores à 14.4.3, atualize para o XWiki 14.4.3 ou posterior. Para versões anteriores à 14.6, atualize para o XWiki 14.6 ou posterior.