Michael Hamann

Nome do Software Vulnerável e Versões Afetadas: XWiki Remote Macros versões 1.0 até 1.26.5 Descrição: O XWiki Remote Macros fornece macros de renderização do XWiki usadas para migrar conteúdo do Confluence. A ausência de um mecanismo de escape no parâmetro `ac:type` dentro da macro `ConfluenceLayoutSection` permite a execução remota de código. O parâmetro `classes` é utilizado sem o devido escape na sintaxe do XWiki, possibilitando a injeção de sintaxe do XWiki, o que também leva à execução remota de código. Recomendações: Atualize para a versão 1.26.5 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do XWiki Platform de 14.4.2 a 16.4.7 Versões do XWiki Platform de 16.5.0-rc-1 a 16.10.6 Versões do XWiki Platform de 17.0.0-rc-1 a 17.4.0-rc-1 Descrição: As tarefas de exportação para PDF armazenam cookies sensíveis sem criptografia nos status das tarefas. Isso inclui o nome de usuário e a senha criptografados, o que efetivamente expõe a senha em texto simples caso a chave de criptografia seja comprometida. A chave de criptografia é armazenada no mesmo diretório de dados que o status da tarefa, tornando-a acessível. A vulnerabilidade existe porque o status da tarefa inclui cookies da requisição HTTP que acionou a exportação. Recomendações: Atualize para o XWiki Platform versão 16.4.8 ou posterior. Atualize para o XWiki Platform versão 16.10.7 ou posterior. Atualize para o XWiki Platform versão 17.4.0-rc-1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki Platform de 4.2-milestone-3 a 16.4.7 Versões do XWiki Platform de 16.5.0-rc-1 a 16.10.5 Versões do XWiki Platform de 17.0.0-rc-1 a 17.2.2 **Descrição** A plataforma contém vulnerabilidades de cross-site scripting (XSS) refletido em dois modelos. Um atacante pode executar código JavaScript malicioso no contexto da sessão de uma vítima, levando-a a visitar uma URL manipulada. Isso permite que o atacante execute ações usando as permissões da vítima. O problema é explorável por meio de URLs como `/xwiki/bin/view/Main/?xpage=job status json&jobId=asdf&translationPrefix=<img src=1 onerror=alert(document.domain)>` e `/xwiki/bin/view/Main/?xpage=distribution&extensionId=%3Cimg src=x onerror=alert(document.domain)%3E&extensionVersionConstraint=%3Cimg src=x onerror=alert(document.domain)%3E`. **Recomendações** Versões do XWiki Platform anteriores a 16.4.8 Versões do XWiki Platform anteriores a 16.10.6 Versões do XWiki Platform anteriores a 17.3.0-rc-1 Aplique manualmente um patch no arquivo WAR com as alterações incluídas no patch original.

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki anteriores a 16.4.7 Versões do XWiki anteriores a 16.10.3 Versões do XWiki anteriores a 17.0.0 **Descrição** A vulnerabilidade permite que qualquer usuário com direitos de edição em uma página execute código, incluindo Groovy, Python e Velocity, com direitos de programação, definindo uma macro wiki. Isso pode conceder acesso total a toda a instalação do XWiki. O problema surge quando um parâmetro de macro wiki permite sintaxe wiki e seu valor padrão é executado com os direitos do autor do documento onde é utilizado. Isso pode ser explorado sobrescrevendo uma macro, como a macro 'children', permitindo macros de script arbitrários. **Recomendações** Para versões anteriores a 16.4.7, atualize para a versão 16.4.7 ou posterior para garantir o gerenciamento adequado de direitos. Para versões anteriores a 16.10.3, atualize para a versão 16.10.3 ou posterior para garantir o gerenciamento adequado de direitos. Para versões anteriores a 17.0.0, atualize para a versão 17.0.0 ou posterior para garantir o gerenciamento adequado de direitos.

**Nome do Software Vulnerável e Versões Afetadas** Versões 4.3-milestone-1 a 16.10.8 do XWiki Platform Versões 17.4.0 a 17.4.1 do XWiki Platform Versão 17.5.0 do XWiki Platform **Descrição** O XWiki Platform, uma plataforma wiki genérica, contém uma falha na URL de pesquisa REST. O parâmetro `orderField` é suscetível à injeção de HQL. O valor fornecido para este parâmetro é incluído duas vezes na consulta, exigindo manipulação cuidadosa para sua exploração. Especificamente, envolver o segmento da consulta entre as duas instâncias do campo entre aspas simples pode contornar as restrições, mas a consulta deve permanecer válida com o parâmetro aparecendo duas vezes. Este problema afeta versões a partir da 4.3-milestone-1 e é corrigido nas versões 16.10.9, 17.4.2 e 17.5.0. O endpoint da API envolvido é a URL de pesquisa REST. O parâmetro vulnerável é `orderField`. **Recomendações** Atualize para a versão 16.10.9 ou posterior do XWiki Platform. Atualize para a versão 17.4.2 ou posterior do XWiki Platform. Atualize para a versão 17.5.0 ou posterior do XWiki Platform.

**Nome do Software Vulnerável e Versões Afetadas** XWiki Contrib's Syntax Markdown versões 8.2 a 8.8 **Descrição** A vulnerabilidade permite que qualquer usuário incorpore código Javascript utilizando sintaxe Markdown, o qual pode ser executado no navegador de outros usuários que visitam o documento ou comentário que o contém. Isso compromete a confidencialidade, a integridade e a disponibilidade de toda a instalação do XWiki, especialmente se o código for executado por um usuário com direitos administrativos ou de programação. **Recomendações** Para as versões 8.2 a 8.8, atualize para a versão 8.9 para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** XWiki versions prior to 16.4.7 XWiki versions prior to 16.10.3 XWiki versions prior to 17.0.0 **Description** XWiki is a generic wiki platform that warns about the execution of "dangerous" macros like malicious script macros authored by a user with fewer rights since XWiki 15.9RC1. However, the required rights analyzers that trigger these warnings are incomplete, allowing an attacker to hide malicious content. The existing analyzers do not consider non-lowercase parameters, and most macro parameters that can contain XWiki syntax were not analyzed. This could allow a malicious user to add malicious script macros, including Groovy or Python macros, to a page that are then executed after another user with programming rights edits the page, thus allowing remote code execution. **Recommendations** For versions prior to 16.4.7, update to version 16.4.7 or later. For versions prior to 16.10.3, update to version 16.10.3 or later. For versions prior to 17.0.0, update to version 17.0.0 or later. As a temporary workaround, consider being careful when editing content authored by untrusted users.

**Name of the Vulnerable Software and Affected Versions** XWiki versions 16.10.0 through 16.10.3 **Description** The issue is related to a bug in the implementation of required rights in XWiki, allowing any user with edit right on a document to set programming right as required right. This could lead to remote code execution if a user with programming right edits the document. The impact is considered low, as the vulnerability provides no additional attack surface unless all documents in the wiki enforce required rights. However, gaining programming right could have a high impact. **Recommendations** For XWiki versions 16.10.0 through 16.10.3, upgrade to XWiki 16.10.4 or 17.1.0RC1 to resolve the issue. As a temporary workaround, consider restricting access to documents with required rights enforced, to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki Platform 9.8-rc-1 até 16.4.6 Versões do XWiki Platform 16.5.0-rc-1 até 16.10.4 Versões do XWiki Platform 17.0.0-rc-1 até 17.1.0 **Descrição** O XWiki Platform Legacy Old Core e o XWiki Platform Old Core permitem que qualquer usuário com permissões de edição crie um XClass com uma propriedade de lista de banco de dados que referencia uma propriedade de senha. Ao adicionar um objeto desse XClass, o conteúdo da propriedade de senha é exibido, potencialmente expondo hashes de senha de todos os usuários e outras propriedades de senha a qualquer usuário com uma conta na wiki. **Recomendações** Atualize para a versão 16.4.7 ou posterior do XWiki Platform. Atualize para a versão 16.10.5 ou posterior do XWiki Platform. Atualize para a versão 17.2.0-rc-1 ou posterior do XWiki Platform.

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki Platform de 1.1 a 16.4.6 Versões do XWiki Platform de 16.5.0-rc-1 a 16.10.4 Versões do XWiki Platform de 17.0.0-rc-1 a 17.1.0 **Descrição** O XWiki Platform Legacy Old Core e o XWiki Platform Old Core são afetados por uma falha na qual a exportação XML de uma página, acessível a qualquer usuário com direitos de visualização ao adicionar `?xpage=xml` à URL, inclui as propriedades `password` e `email` armazenadas em um documento – mesmo que essas propriedades não sejam explicitamente nomeadas `password` ou `email`. **Recomendações** As versões do XWiki Platform anteriores à 16.4.7 devem ser atualizadas. As versões do XWiki Platform anteriores à 16.10.5 devem ser atualizadas. As versões do XWiki Platform anteriores à 17.2.0-rc-1 devem ser atualizadas. Se a funcionalidade de exportação XML não for necessária, exclua o arquivo `templates/xml.vm` do arquivo WAR implantado.

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki Platform de 10.9 a 16.4.6 Versões do XWiki Platform de 16.5.0-rc-1 a 16.10.2 Versões do XWiki Platform 17.0.0-rc-1 **Descrição** O problema afeta o XWiki, uma plataforma wiki genérica, onde um atacante pode acessar o título de cada página cuja referência seja conhecida através da API REST, desde que um XClass com uma propriedade de página esteja acessível. Esta é a configuração padrão de uma instalação do XWiki. O impacto na confidencialidade depende da estratégia para nomes de páginas, com baixo impacto se os nomes das páginas coincidirem com o título, mas potencialmente alto impacto se os nomes das páginas forem intencionalmente ofuscados porque os títulos são sensíveis. **Recomendações** Para as versões do XWiki Platform de 10.9 a 16.4.6, atualize para a versão 16.4.7. Para as versões do XWiki Platform de 16.5.0-rc-1 a 16.10.2, atualize para a versão 16.10.3. Para as versões do XWiki Platform 17.0.0-rc-1, atualize para a versão 17.0.0.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform de 9.7-rc-1 a 15.10.10 Versões da XWiki Platform de 16.4.0 a 16.4.0 Versões da XWiki Platform 16.5.0 e anteriores **Descrição** A Plataforma XWiki é uma plataforma wiki genérica. A partir da versão 9.7-rc-1 e até as versões 15.10.11, 16.4.1 e 16.5.0, qualquer usuário com uma conta pode executar código remoto arbitrário adicionando instâncias de `XWiki.WikiMacroClass` a qualquer página. Isso compromete a confidencialidade, integridade e disponibilidade de toda a instalação do XWiki. A vulnerabilidade foi corrigida nas versões 15.10.11, 16.4.1 e 16.5.0 do XWiki. **Recomendações** Para as versões 9.7-rc-1 a 15.10.10 da Plataforma XWiki, atualize para a versão 15.10.11 ou posterior. Para as versões 16.4.0 da Plataforma XWiki, atualize para a versão 16.4.1 ou posterior. Para as versões 16.5.0 e anteriores da Plataforma XWiki, atualize para a versão 16.5.0 ou posterior. Como solução temporária, é possível aplicar manualmente o patch à página `XWiki.XWikiSyntaxMacrosList`.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform de 1.2-milestone-2 a 15.10.8 Versões da XWiki Platform de 1.2-milestone-2 a 16.2.x **Descrição** A vulnerabilidade permite que qualquer usuário com uma conta na wiki principal execute operações de agendamento em subwikis. Para reproduzir o problema, um usuário na wiki principal sem nenhum direito especial pode visualizar o documento `Scheduler.WebHome` em uma subwiki e, em seguida, clicar em qualquer operação (por exemplo, Trigger) em qualquer tarefa. Se a operação for bem-sucedida, a instância está vulnerável. **Recomendações** Para as versões da Plataforma XWiki 1.2-milestone-2 a 15.10.8, atualize para a versão 15.10.9 ou posterior. Para as versões da Plataforma XWiki 1.2-milestone-2 a 16.2.x, atualize para a versão 16.3.0 ou posterior. Como solução alternativa temporária, aqueles que possuem subwikis onde o Agendador de Tarefas está habilitado podem editar os objetos em `Scheduler.WebPreferences` para corresponder ao patch.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform de 3.3-milestone-1 a 15.10.8 Versões da XWiki Platform de 3.3-milestone-1 a 16.2.x **Descrição** A Plataforma XWiki é uma plataforma wiki genérica. Em instâncias nas quais o `Extension Repository Application` está instalado, qualquer usuário pode executar qualquer código que exija direitos de `programação` no servidor. Este problema foi corrigido nas versões XWiki 15.10.9 e 16.3.0. Como o `Extension Repository Application` não é obrigatório, ele pode ser desativado com segurança em instâncias que não o utilizam como solução alternativa. Também é possível aplicar manualmente os patches do commit 8659f17d500522bf33595e402391592a35a162e8 à página `ExtensionCode.ExtensionSheet` e à página `ExtensionCode.ExtensionAuthorsDisplayer`. **Recomendações** Para as versões da XWiki Platform 3.3-milestone-1 a 15.10.8, atualize para a versão 15.10.9 ou posterior. Para as versões da XWiki Platform 3.3-milestone-1 a 16.2.x, atualize para a versão 16.3.0 ou posterior. Como solução alternativa temporária, considere desativar o `Extension Repository Application` em instâncias que não o utilizam. Restrinja o acesso às páginas `ExtensionCode.ExtensionSheet` e `ExtensionCode.ExtensionAuthorsDisplayer` para minimizar o risco de exploração. Aplique manualmente os patches do commit 8659f17d500522bf33595e402391592a35a162e8 à página `ExtensionCode.ExtensionSheet` e à página `ExtensionCode.ExtensionAuthorsDisplayer` como solução alternativa.

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki anteriores a 15.10.16 Versões do XWiki anteriores a 16.4.7 Versões do XWiki anteriores a 16.10.2 **Descrição** O problema surge quando um usuário sem direitos de script cria um documento contendo um objeto XWiki.Notifications.Code.NotificationDisplayerClass. Se um administrador editar e salvar este documento posteriormente, o conteúdo potencialmente malicioso do objeto é exibido como HTML bruto, permitindo ataques de cross-site scripting (XSS). O exibidor de notificações executa código Velocity e, embora um analisador genérico alerte os administradores sobre a edição de código Velocity, avisos para editar documentos com propriedades perigosas foram introduzidos apenas no XWiki 15.9. **Recomendações** Para versões anteriores a 15.10.16, atualize para a versão 15.10.16 ou posterior. Para versões anteriores a 16.4.7, atualize para a versão 16.4.7 ou posterior. Para versões anteriores a 16.10.2, atualize para a versão 16.10.2 ou posterior. Como solução temporária, considere ter cautela ao editar documentos com código potencialmente malicioso, especialmente aqueles contendo objetos XWiki.Notifications.Code.NotificationDisplayerClass, até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** XWiki versions prior to 15.10.16 XWiki versions prior to 16.4.7 XWiki versions prior to 16.10.2 **Description** The issue affects XWiki, a generic wiki platform. It occurs when a user without script right creates a document with an `XWiki.Notifications.Code.NotificationEmailRendererClass` object. If an admin later edits and saves that document, the email templates in this object will be used for notifications. Although no malicious code can be executed due to the existing generic analyzer warning admins before editing Velocity code, the main impact could be to send spam, such as phishing links to other users, or to hide notifications about other attacks. **Recommendations** For versions prior to 15.10.16, update to version 15.10.16 or later. For versions prior to 16.4.7, update to version 16.4.7 or later. For versions prior to 16.10.2, update to version 16.10.2 or later. As a temporary workaround, consider restricting access to documents with `XWiki.Notifications.Code.NotificationEmailRendererClass` objects until the issue is resolved. Avoid using the `XWiki.Notifications.Code.NotificationEmailRendererClass` object in documents until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Versões da plataforma XWiki anteriores à 15.10RC1 **Descrição** Um usuário sem direitos de script ou programação pode induzir um usuário com direitos elevados a editar conteúdo com uma carga maliciosa usando um editor WYSIWYG. O usuário com direitos elevados não é avisado previamente de que irá editar conteúdo potencialmente perigoso. A carga maliciosa é executada no momento da edição. **Recomendações** Para versões anteriores à 15.10RC1, atualize para o XWiki 15.10RC1 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o uso de editores WYSIWYG para usuários com direitos elevados até que a correção seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform anteriores à 14.10.21 Versões da XWiki Platform anteriores à 15.5.5 Versões da XWiki Platform anteriores à 15.10.6 Versões da XWiki Platform anteriores à 16.0.0 **Descrição** A vulnerabilidade permite que um usuário sem direitos de script ou programação crie uma URL direcionada a uma página com JavaScript arbitrário, o que requer que um engenheiro social induza um usuário a acessar a URL. **Recomendações** Para versões anteriores à 14.10.21, atualize para a versão 14.10.21 ou posterior. Para versões anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior. Para versões anteriores à 15.10.6, atualize para a versão 15.10.6 ou posterior. Para versões anteriores à 16.0.0, atualize para a versão 16.0.0 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao endpoint `xwiki-server>/xwiki/bin/view/` até que um patch esteja disponível. Evite usar a propriedade `test` no editor de objetos até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões da plataforma XWiki anteriores à 14.10.21 Versões da plataforma XWiki anteriores à 15.5.5 Versões da plataforma XWiki anteriores à 15.10.2 **Descrição** A vulnerabilidade permite que qualquer usuário com direitos de edição em qualquer página execute código remoto arbitrário ao adicionar instâncias de `XWiki.SearchSuggestConfig` e `XWiki.SearchSuggestSourceClass` ao seu perfil de usuário ou a qualquer outra página. Isso compromete a confidencialidade, integridade e disponibilidade de toda a instalação do XWiki. **Recomendações** Para versões da Plataforma XWiki anteriores à 14.10.21, atualize para a versão 14.10.21 ou posterior. Para versões da Plataforma XWiki anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior. Para versões da Plataforma XWiki anteriores à 15.10.2, atualize para a versão 15.10.2 ou posterior. Como solução temporária, considere restringir a capacidade de adicionar instâncias de `XWiki.SearchSuggestConfig` e `XWiki.SearchSuggestSourceClass` aos perfis de usuário ou páginas até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões da plataforma XWiki anteriores à 15.10.8 Versões da plataforma XWiki anteriores à 16.3.0RC1 **Descrição** A vulnerabilidade permite que um invasor execute trechos de JavaScript no ambiente de outro usuário, comprometendo a confidencialidade, integridade e disponibilidade de toda a instalação do XWiki. Isso pode ser feito criando um conflito quando outro usuário com mais direitos estiver editando uma página. O número estimado de dispositivos potencialmente afetados não foi especificado. Para explorar essa vulnerabilidade, um usuário com direitos de administrador precisa editar um documento sem salvar imediatamente. Em seguida, outro usuário sem nenhum direito além de editar o documento específico deve alterar todo o conteúdo para `<script>alert(‘XSS’)</script>`. Quando o usuário administrador salva o documento, uma janela pop-up de conflito é exibida. Se ele selecionar “Resolver cada conflito individualmente” e vir um alerta exibindo “XSS”, a instância está vulnerável. **Recomendações** Para versões da XWiki Platform anteriores à 15.10.8, atualize para a versão 15.10.8 ou posterior. Para versões da XWiki Platform anteriores à 16.3.0RC1, atualize para a versão 16.3.0RC1 ou posterior. Como solução alternativa temporária, considere restringir a capacidade de criar conflitos ao editar páginas, até que um patch seja aplicado.