Simon Urli

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki 7.4.5 até 16.4.7 Versões do XWiki 8.2 até 16.10.4 Versões do XWiki 17.1.0-rc-1 e anteriores **Descrição** O problema permite que páginas adquiram direitos de script ou programação quando contêm um link e o destino do link é renomeado ou movido, potencialmente levando à execução de scripts contidos em xobjects que não deveriam ter sido executados. **Recomendações** Para versões do XWiki 7.4.5 até 16.4.7, atualize para a versão 16.4.7 ou posterior. Para versões do XWiki 8.2 até 16.10.4, atualize para a versão 16.10.4 ou posterior. Para versões do XWiki 17.1.0-rc-1 e anteriores, atualize para a versão 17.1.0-rc-1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform de 5.0-rc-1 a 14.10.18 Versões da XWiki Platform de 14.10.19 a 15.5.3 Versões da XWiki Platform de 15.5.4 a 15.9-rc-1 **Descrição** A vulnerabilidade permite o acesso ao hash de uma senha utilizando o recurso de comparação (diff) do histórico sempre que o objeto que armazena a senha é excluído. Um invasor com direitos para editar a página de um usuário pode explorar isso para acessar o hash da senha de um usuário. Essa vulnerabilidade é normalmente impedida nos perfis de usuário por padrão, exceto para usuários com direitos de administrador. Ela também afeta extensões que utilizam senhas armazenadas em xobjects, dependendo dos direitos dessas páginas. Não há como ter 100% de certeza se essa vulnerabilidade foi explorada, pois um invasor com privilégios suficientes poderia ter excluído a revisão em que o xobject foi excluído após reverter a exclusão. **Recomendações** Para as versões 5.0-rc-1 a 14.10.18 da XWiki Platform, atualize para a versão 14.10.19 ou posterior. Para as versões 14.10.19 a 15.5.3 da XWiki Platform, atualize para a versão 15.5.4 ou posterior. Para as versões 15.5.4 a 15.9-rc-1 da XWiki Platform, atualize para a versão 15.9-rc-1 ou posterior. Como solução alternativa temporária, considere garantir que as páginas de usuário estejam devidamente protegidas, não permitindo direitos de edição a outros usuários além do administrador e do proprietário do perfil. Altere as senhas nas páginas com um xobject de senha de usuário que tenham em seu histórico uma revisão na qual o objeto foi excluído.

**Name of the Vulnerable Software and Affected Versions** XWiki Platform versions prior to 14.10.8 XWiki Platform versions prior to 15.2 **Description** The issue is related to insufficient authentication checks for executed requests in the XWiki Platform, allowing cross-site request forgery. This can lead to remote code execution through script macros when a user with programming rights interacts with the platform, impacting the integrity, availability, and confidentiality of the XWiki installation. For regular cookie-based authentication, the issue is mitigated by SameSite cookie restrictions, but these are not enabled by default in Firefox and Safari as of March 2023. **Recommendations** For XWiki Platform versions prior to 14.10.8, update to version 14.10.8 or later to require a CSRF token header for certain request types susceptible to CSRF attacks. For XWiki Platform versions prior to 15.2, update to version 15.2 or later to require a CSRF token header for certain request types susceptible to CSRF attacks. As a temporary workaround, consider checking for the `Origin` header in a reverse proxy to protect the REST endpoint from CSRF attacks.

**Name of the Vulnerable Software and Affected Versions** XWiki Platform versions 3.4-milestone-1 through 14.10.4 XWiki Platform versions 15.0 through 15.1-rc-1 (excluding 15.1-rc-1) **Description** The XWiki Platform is vulnerable to a cross-site scripting (XSS) attack, allowing users to inject JavaScript into a page by forging a URL with a payload. This can be exploited using the deletespace template, for example, by using a URL such as "xwiki/bin/deletespace/Sandbox/?xredirect=javascript:alert(document.domain)". The vulnerability exists since XWiki 3.4-milestone-1. **Recommendations** For XWiki Platform versions 3.4-milestone-1 through 14.10.4, update to version 14.10.5 or later. For XWiki Platform versions 15.0 through 15.1-rc-1 (excluding 15.1-rc-1), update to version 15.1-rc-1 or later. As a temporary workaround, consider editing the template deletespace.vm to perform checks on it, but note that the appropriate fix involves new APIs that have been recently introduced in XWiki.

**Name of the Vulnerable Software and Affected Versions** XWiki Platform versions 6.2-milestone-1 through 14.10.4 XWiki Platform versions 15.1-rc-1 and earlier **Description** The issue allows users to forge a URL with a payload that injects Javascript into the page, enabling a cross-site scripting (XSS) attack. This can be exploited using the DeleteApplication page. For example, a URL such as "xwiki/bin/view/AppWithinMinutes/DeleteApplication?appName=Menu&resolve=true&xredirect=javascript:alert(document.domain)" can be used. The vulnerability exists due to the lack of measures to neutralize alternative XSS syntax. **Recommendations** For XWiki Platform versions 6.2-milestone-1 through 14.10.4, update to version 14.10.5 or later. For XWiki Platform versions 15.1-rc-1 and earlier, update to version 15.1 or later. As a temporary workaround, consider editing the page AppWithinMinutes.DeleteApplication to perform checks on it, but note that the appropriate fix involves new APIs that have been recently introduced in XWiki.

**Name of the Vulnerable Software and Affected Versions** XWiki Platform versions prior to 13.10.11 XWiki Platform versions prior to 14.4.8 XWiki Platform versions prior to 14.10.1 XWiki Platform versions prior to 15.0-rc-1 **Description** The XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. It's possible to break many translations coming from wiki pages by creating a corrupted document containing a translation object, leading to a broken page. **Recommendations** For versions prior to 13.10.11, upgrade to version 13.10.11 or later. For versions prior to 14.4.8, upgrade to version 14.4.8 or later. For versions prior to 14.10.1, upgrade to version 14.10.1 or later. For versions prior to 15.0-rc-1, upgrade to version 15.0-rc-1 or later. As a temporary workaround, consider fixing any way to create a document that fails to load, until a patch is applied.

**Nome do software vulnerável e versões afetadas** Versões do xwiki-platform-oldcore anteriores à 13.10.7 Versões do xwiki-platform-oldcore anteriores à 14.4.2 Versões do xwiki-platform-oldcore anteriores à 14.5RC1 **Descrição** O problema está relacionado à falta de autorização no método `setDisabledStatus` da classe `User`, permitindo que usuários com apenas direitos de Script habilitem ou desabilitem outros usuários. Essa operação deve ser restrita a usuários com direitos de administrador. **Recomendações** Para versões anteriores à 13.10.7, atualize para a versão 13.10.7 ou posterior. Para versões anteriores à 14.4.2, atualize para a versão 14.4.2 ou posterior. Para versões anteriores à 14.5RC1, atualize para a versão 14.5RC1 ou posterior. Como solução alternativa temporária, considere restringir os direitos de Script a usuários confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões da Plataforma XWiki anteriores à 12.10.11 Versões da Plataforma XWiki anteriores à 13.4.6 Versões da Plataforma XWiki anteriores à 13.10-rc-1 **Descrição** A vulnerabilidade permite que usuários comuns criem SSX/JSX globais sem direitos específicos. Em teoria, apenas usuários com direitos de programação deveriam ter permissão para criar SSX ou JSX que sejam executados em toda a wiki. No entanto, um bug permite que qualquer pessoa com direitos de edição crie esses arquivos. **Recomendações** Para versões anteriores à 12.10.11, atualize para a versão 12.10.11 ou posterior. Para versões anteriores à 13.4.6, atualize para a versão 13.4.6 ou posterior. Para versões anteriores à 13.10-rc-1, atualize para a versão 13.10-rc-1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões da Plataforma XWiki anteriores à 12.10.11 Versões da Plataforma XWiki anteriores à 13.4.7 Versões da Plataforma XWiki anteriores à 13.10.3 Versões da Plataforma XWiki anteriores à 14.0-rc-1 **Descrição** O problema está relacionado a um vetor de cross-site scripting (XSS) no modelo `registerinline.vm`, especificamente no campo oculto `xredirect`. Esse modelo é usado quando o wiki está aberto para registro por qualquer pessoa e fechado para visualização por usuários convidados, ou quando a página XWiki.Registration está restrita à visualização por usuários convidados. Os administradores podem obter a segunda condição marcando a caixa “Impedir que usuários não registrados visualizem páginas, independentemente dos direitos da página” nos direitos de administração. **Recomendações** Para versões anteriores à 12.10.11, aplique um patch no modelo `registerinline.vm` para verificar o valor do campo `xredirect`. Para versões anteriores à 13.4.7, aplique um patch no modelo `registerinline.vm` para verificar o valor do campo `xredirect`. Para versões anteriores à 13.10.3, aplique um patch no modelo `registerinline.vm` para verificar o valor do campo `xredirect`. Para versões anteriores à 14.0-rc-1, aplique um patch no modelo `registerinline.vm` para verificar o valor do campo `xredirect`. Como solução temporária, certifique-se de que a opção “Impedir que usuários não registrados visualizem páginas, independentemente dos direitos da página” não esteja marcada nos direitos e aplique um esquema de direitos mais adequado usando grupos e direitos nos espaços.

**Nome do software vulnerável e versões afetadas** Versões do XWiki anteriores à 12.10.5 Versões do XWiki anteriores à 13.2RC1 **Descrição** É possível determinar se um usuário possui uma conta em um wiki associada a um endereço de e-mail e quais nomes de usuário estão vinculados a esse e-mail, falsificando uma solicitação na página “Esqueci meu nome de usuário”. Isso se deve à falta de uma verificação CSRF nessa página, facilitando a realização de múltiplas solicitações. **Recomendações** Para versões anteriores à 12.10.5, atualize para a versão 12.10.5 ou posterior. Para versões anteriores à 13.2RC1, atualize para a versão 13.2RC1 ou posterior. Como solução alternativa temporária para versões anteriores à 13.x, edite a página ForgotUsername para usar o código fornecido. Para versões posteriores à 13.x, considere editar o arquivo forgotusername.vm manualmente, mas recomenda-se atualizar a versão.

**Nome do software vulnerável e versões afetadas** Plataforma XWiki, versões 13.1RC1 a 13.1 **Descrição** O formulário de redefinição de senha revela o endereço de e-mail dos usuários apenas com a inserção do nome de usuário. O problema foi corrigido na versão XWiki 13.2RC1. **Recomendações** Para as versões 13.1RC1 a 13.1, modifique manualmente o arquivo `resetpasswordinline.vm` para aplicar as alterações feitas para mitigar a vulnerabilidade. Atualize para o XWiki 13.2RC1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões da Plataforma XWiki anteriores à 12.6.8 Versões da Plataforma XWiki anteriores à 12.10.4 Versões da Plataforma XWiki anteriores à 13.0 **Descrição** Existe uma vulnerabilidade na Plataforma XWiki em que o método de serviço de script usado para redefinir o registro de falhas de autenticação pode ser executado por qualquer usuário com direitos de Script, sem a necessidade de direitos de Programação. Isso permite que um invasor com direitos de script realize potencialmente um ataque de força bruta ao redefinir o registro de falhas de autenticação, desativando efetivamente o mecanismo destinado a mitigar tais ataques. **Recomendações** Para versões anteriores à 12.6.8, atualize para a versão 12.6.8 ou posterior. Para versões anteriores à 12.10.4, atualize para a versão 12.10.4 ou posterior. Para versões anteriores à 13.0, atualize para a versão 13.0 ou posterior. Como solução alternativa temporária, considere restringir o acesso de direitos de script a usuários confiáveis para minimizar o risco de exploração. Monitore os logs em busca de sinais de ataques de força bruta na autenticação, já que as falhas de autenticação são registradas.

**Nome do software vulnerável e versões afetadas** Versões da Plataforma XWiki anteriores à 12.9RC1 **Descrição** A Plataforma XWiki, especificamente quando a API de Avaliações está instalada, expõe uma API que permite a execução de consultas SQL sem escapar adequadamente os argumentos de pesquisa `from` e `where`. Isso pode levar à injeção de scripts SQL para usuários com direitos de script no XWiki. **Recomendações** Para versões anteriores à 12.9RC1, atualize para o XWiki 12.9RC1 para resolver o problema. Como solução temporária, considere desinstalar a API de Avaliações no XWiki a partir do Gerenciador de Extensões até que um patch seja aplicado.