Tmortagne

**Nome do Software Vulnerável e Versões Afetadas** Versões do XWiki Platform de 6.1-milestone-2 até 16.10.6 **Descrição** O XWiki Platform é uma plataforma wiki genérica. As versões afetadas permitem acesso a arquivos de configuração por meio da API webjars. Este problema foi corrigido na versão 16.10.7. **Recomendações** Atualize para a versão 16.10.7 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões da plataforma XWiki anteriores à 15.0 RC1 **Descrição** O conteúdo de um documento incluído usando `{{include reference="targetdocument"/}}` é executado com os direitos do usuário que o incluiu e não com os direitos de seu autor. Isso significa que qualquer usuário capaz de modificar o documento de destino pode se passar pelo autor do conteúdo que utilizou a macro `include`. **Recomendações** Para versões anteriores à 15.0 RC1, certifique-se de proteger qualquer documento incluído para garantir que apenas usuários autorizados possam modificá-lo. Uma solução alternativa está disponível na versão 14.10.2 para permitir forçar a execução do conteúdo incluído com os direitos do autor do conteúdo de destino, em vez do comportamento padrão. Atualize para o XWiki 15.0 RC1 ou posterior, onde o comportamento padrão foi corrigido.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform anteriores à 14.10.18 Versões da XWiki Platform anteriores à 15.5.3 Versões da XWiki Platform anteriores à 15.8 RC1 **Descrição** Um usuário capaz de anexar um arquivo a uma página pode publicar um arquivo TAR malformado manipulando os cabeçalhos de data e hora de modificação do arquivo, o que, quando analisado pelo Tika, pode causar um problema de negação de serviço devido ao consumo de CPU. **Recomendações** Para versões anteriores à 14.10.18, atualize para a versão 14.10.18 ou posterior. Para versões anteriores à 15.5.3, atualize para a versão 15.5.3 ou posterior. Para versões anteriores à 15.8 RC1, atualize para a versão 15.8 RC1 ou posterior. Como solução alternativa temporária, considere baixar o commons-compress 1.24 e substituir o arquivo localizado na pasta WEB-INF/lib/ do XWiki.

**Name of the Vulnerable Software and Affected Versions** XWiki Commons versions prior to 14.10 **Description** The issue concerns rights added to a document not being taken into account for viewing it once it's deleted. This specifically impacts deleted documents that contained view rights. However, view rights provided on a space of a deleted document are properly checked. The problem has been resolved by checking the rights of the current user, allowing only admins and the deleter of the document to view it. **Recommendations** For versions prior to 14.10, update to XWiki 14.10 to resolve the issue by implementing the patch that checks the rights of the current user, restricting viewing of deleted documents to admins and the document's deleter.

**Name of the Vulnerable Software and Affected Versions** XWiki Commons versions prior to 13.10.8 XWiki Commons versions prior to 14.4.3 XWiki Commons versions prior to 14.7RC1 **Description** The issue concerns hidden users from the main wiki, allowing their usernames and first and last names to be disclosed by requesting users on a subwiki that allows only global users with `uorgsuggest.vm`. This issue only affects hidden users from the main wiki, and no other information is leaked. **Recommendations** For versions prior to 13.10.8, update to version 13.10.8 or later. For versions prior to 14.4.3, update to version 14.4.3 or later. For versions prior to 14.7RC1, update to version 14.7RC1 or later. As a temporary workaround, consider patching directly `uorgsuggest.vm` to apply the same changes as in the provided GitHub pull request.

**Name of the Vulnerable Software and Affected Versions** XWiki versions prior to 13.10.10 XWiki versions prior to 14.4.6 XWiki versions prior to 14.9 **Description** The Livetable Macro wasn't properly sanitizing column names, thus allowing the insertion of raw HTML code including JavaScript. This issue was also exploitable via the Documents Macro that is included since XWiki 3.5M1 and doesn't require script rights, demonstrated with the syntax `{{documents id="example" count="5" actions="false" columns="doc.title, before<script>alert(1)</script>after"/}}`. Therefore, this can also be exploited by users without script rights and in comments. With the interaction of a user with more rights, this could be used to execute arbitrary actions in the wiki, including privilege escalation, remote code execution, information disclosure, modifying or deleting content. **Recommendations** For XWiki versions prior to 13.10.10, update to version 13.10.10 or later. For XWiki versions prior to 14.4.6, update to version 14.4.6 or later. For XWiki versions prior to 14.9, update to version 14.9 or later. As a temporary workaround, consider applying the patch to existing installations without upgrading by replacing the files `skins/flamingo/macros.vm` and `templates/macros.vm` in the web application directory with patched versions.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform anteriores à 12.10.6 Versões da XWiki Platform anteriores à 13.2CR1 **Descrição** A vulnerabilidade permite que qualquer usuário com direitos de edição copie o conteúdo de uma página à qual não tem acesso, utilizando-a como modelo para uma nova página. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 12.10.6, atualize para a versão 12.10.6 ou posterior. Para versões anteriores à 13.2CR1, atualize para a versão 13.2CR1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões da XWiki Platform anteriores à 12.10.9 Versões da XWiki Platform anteriores à 13.4.1 Versões da XWiki Platform anteriores à 13.6RC1 **Descrição** A vulnerabilidade permite que um invasor adivinhe se um usuário possui uma conta no wiki utilizando o formulário “Esqueceu sua senha?”, mesmo que o wiki esteja fechado para usuários convidados. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 12.10.9, atualize para a versão 12.10.9 ou posterior. Para versões anteriores à 13.4.1, atualize para a versão 13.4.1 ou posterior. Para versões anteriores à 13.6RC1, atualize para a versão 13.6RC1 ou posterior.