Poh Jia

**Nome do software vulnerável e versões afetadas** Versões do Apache JSPWiki anteriores à 2.11.3 **Descrição** Uma solicitação cuidadosamente elaborada em “AJAXPreview.jsp” poderia desencadear uma falha que permite a um invasor executar javascript no navegador da vítima e obter informações confidenciais. Essa falha aproveita um problema em que o plugin Denounce renderiza de forma perigosa URLs fornecidas pelo usuário. Verificou-se que o patch para esse problema estava incompleto, pois ainda era possível inserir entradas maliciosas por meio do plugin Denounce. **Recomendações** Para versões anteriores à 2.11.3, atualize para a versão 2.11.3 ou posterior. Como solução temporária, considere desativar o plugin Denounce até que um patch esteja disponível. Restrinja o acesso à página “AJAXPreview.jsp” para minimizar o risco de exploração. Evite usar o plugin Denounce para renderizar URLs fornecidas pelo usuário até que a vulnerabilidade seja resolvida.