Wang Ran

**Nome do software vulnerável e versões afetadas** Versões do Apache JSPWiki anteriores à 2.11.3 **Descrição** Uma solicitação cuidadosamente elaborada em “AJAXPreview.jsp” poderia desencadear uma falha que permite a um invasor executar javascript no navegador da vítima e obter informações confidenciais. Essa falha aproveita um problema em que o plugin Denounce renderiza de forma perigosa URLs fornecidas pelo usuário. Verificou-se que o patch para esse problema estava incompleto, pois ainda era possível inserir entradas maliciosas por meio do plugin Denounce. **Recomendações** Para versões anteriores à 2.11.3, atualize para a versão 2.11.3 ou posterior. Como solução temporária, considere desativar o plugin Denounce até que um patch esteja disponível. Restrinja o acesso à página “AJAXPreview.jsp” para minimizar o risco de exploração. Evite usar o plugin Denounce para renderizar URLs fornecidas pelo usuário até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** Versões do Apache JSPWiki anteriores à 2.11.3 **Descrição** Uma solicitação cuidadosamente elaborada na página “UserPreferences.jsp” poderia desencadear um problema de CSRF, permitindo que um invasor modificasse o e-mail associado à conta atacada e, em seguida, iniciasse uma solicitação de redefinição de senha a partir da página de login. **Recomendações** Para versões anteriores à 2.11.3, atualize para a versão 2.11.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página “UserPreferences.jsp” até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Apache JSPWiki anteriores à 2.11.3 **Descrição** Uma solicitação cuidadosamente elaborada poderia acionar uma vulnerabilidade no Apache JSPWiki, permitindo que um invasor execute javascript no navegador da vítima e obtenha informações confidenciais. O problema pode ser acionado por meio de solicitações específicas em determinados plug-ins ou páginas, como o WeblogPlugin ou o XHRHtml2Markup.jsp. **Recomendações** Para versões anteriores à 2.11.3, atualize para a versão 2.11.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a plug-ins ou páginas vulneráveis, como WeblogPlugin ou XHRHtml2Markup.jsp, até que a atualização seja aplicada.