CVE-2024-55663

Versões da XWiki Platform de 6.3-milestone-2 a 13.10.4

As versões da XWiki Platform de 11.10.6 a 14.3-rc-1 não precisam ser incluídas, pois já estão no intervalo acima; portanto, a versão final é:

As versões da Plataforma XWiki 6.3-milestone-2 a 13.10.4 e 14.3-rc-1 não são necessárias; a versão correta é

As versões da Plataforma XWiki 6.3-milestone-2 a 13.10.4

A Plataforma XWiki é afetada por uma vulnerabilidade no modelo getdocument.vm, onde a ordem dos documentos retornados é definida a partir de um parâmetro de solicitação não sanitizado (request.sort), permitindo que qualquer usuário injete HQL. Dependendo do backend de banco de dados utilizado, um invasor pode obter informações confidenciais, como hashes de senhas, do banco de dados, e também executar consultas UPDATE/INSERT/DELETE.

Para as versões da Plataforma XWiki 6.3-milestone-2 a 13.10.4, atualize para a versão 13.10.5 ou posterior.

Para versões anteriores à 14.3-rc-1, atualize para a versão 14.3-rc-1 ou posterior.

Como solução temporária, considere desativar o modelo getdocument.vm até que um patch esteja disponível.

Restrinja o acesso ao modelo getdocument.vm para minimizar o risco de exploração.

Evite usar o parâmetro request.sort no modelo afetado até que o problema seja resolvido.