René De Sain

Nome do Software Vulnerável e Versões Afetadas: Versões do XWiki 4.2-milestone-1 até 13.10.10 Versões do XWiki 14.4.0 até 14.4.6 Versões do XWiki 14.10.0 até 14.9.9 Descrição: O XWiki Rendering é um sistema que converte entrada textual em diferentes sintaxes. Existe uma falha na qual o analisador de conteúdo de macro padrão não aplica corretamente as restrições ao executar macros aninhadas. Isso permite a execução de macros normalmente proibidas no modo restrito, especificamente macros de script. As macros de cache e gráfico incluídas no XWiki são afetadas por este problema. Recomendações: Versões do XWiki 4.2-milestone-1 até 13.10.10: Atualize para a versão 13.10.11 ou posterior. Versões do XWiki 14.4.0 até 14.4.6: Atualize para a versão 14.4.7 ou posterior. Versões do XWiki 14.10.0 até 14.9.9: Atualize para a versão 14.10 ou posterior. Como medida temporária, desative comentários para usuários não confiáveis.

**Name of the Vulnerable Software and Affected Versions** Collabora Online versions prior to 22.05.13 Collabora Online versions prior to 21.11.9.1 Collabora Online versions prior to 6.4.27 **Description** A stored cross-site scripting (XSS) issue was found in Collabora Online. An attacker could create a document with an XSS payload as a document name. If an administrator opened the admin console and navigated to the history page, the document name was injected as unescaped HTML and executed as a script inside the context of the admin console. This could lead to the leak of the administrator JSON web token (JWT) used for the websocket connection. **Recommendations** For Collabora Online versions prior to 22.05.13, upgrade to Collabora Online 22.05.13 or higher to receive a patch. For Collabora Online versions prior to 21.11.9.1, upgrade to Collabora Online 21.11.9.1 or higher to receive a patch. For Collabora Online versions prior to 6.4.27, upgrade to Collabora Online 6.4.27 or higher to receive a patch.