Robogr00T

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform anteriores à 14.10.21 Versões da XWiki Platform anteriores à 15.5.5 Versões da XWiki Platform anteriores à 15.10.6 Versões da XWiki Platform anteriores à 16.0.0 **Descrição** O problema está relacionado à execução de código JavaScript malicioso ao fazer upload de um anexo com um nome de arquivo malicioso. Isso requer um ataque de engenharia social para induzir a vítima a fazer upload de um arquivo com um nome malicioso. O código malicioso é executado exclusivamente durante o upload e afeta apenas o usuário que está fazendo o upload do anexo, permitindo que ações sejam realizadas em nome desse usuário. **Recomendações** Para versões da Plataforma XWiki anteriores à 14.10.21, atualize para a versão 14.10.21 ou posterior. Para versões da Plataforma XWiki anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior. Para versões da XWiki Platform anteriores à 15.10.6, atualize para a versão 15.10.6 ou posterior. Para versões da XWiki Platform anteriores à 16.0.0, atualize para a versão 16.0.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 3.15 e anteriores do openclass **Descrição** A vulnerabilidade permite que um invasor execute código arbitrário por meio de um arquivo malicioso enviado ao endpoint “certbadge.php”. Isso possibilita que o invasor obtenha, potencialmente, controle sobre o sistema. **Recomendações** Para as versões 3.15 e anteriores, como solução temporária, considere restringir o acesso ao endpoint “certbadge.php” até que uma correção esteja disponível. Evite usar esse endpoint com arquivos não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.