Pierrick Vuillemin

**Nome do software vulnerável e versões afetadas** XWiki (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor envie um arquivo SVG contendo um script que é executado quando a ação de download é realizada no arquivo, devido à configuração padrão do XWiki. Isso pode ser explorado ao usar a configuração padrão. **Recomendações** Atualize a configuração para impedir a exibição de arquivos SVG no navegador. Como solução temporária, considere definir a configuração para baixar ou exibir arquivos corretamente, a fim de mitigar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da plataforma XWiki anteriores à 12.10.5 Versões da plataforma XWiki 13.0 a 13.1 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), que permite que um invasor crie uma URL que, quando acessada por um administrador, redefinirá a senha de qualquer usuário no XWiki. **Recomendações** Para versões anteriores à 12.10.5, atualize para a versão 12.10.5 ou posterior. Para as versões 13.0 a 13.1, atualize para a versão 13.2RC1 ou posterior. Como solução temporária, considere aplicar o patch manualmente, modificando o modelo `register macros.vm`.