CVE-2021-29459

**Nome do software vulnerável e versões afetadas:

Versões da XWiki Platform anteriores à 12.6.3

Versões da XWiki Platform anteriores à 12.8

Descrição:

A vulnerabilidade permite a injeção persistente de scripts. Usuários não registrados podem injetar scripts preenchendo campos de texto simples. Usuários registrados podem injetar scripts preenchendo suas informações pessoais e, caso possuam direitos de edição, preenchendo os valores de listas estáticas por meio do App Within Minutes. Isso pode levar ao sequestro de sessões de usuários, divulgação de dados confidenciais, ataques CSRF e outros problemas de segurança. Também pode levar à apropriação de contas. Se a vítima tiver direitos administrativos, isso pode levar à execução de código no servidor, dependendo do aplicativo e dos privilégios da conta.

Recomendações:

Para versões da Plataforma XWiki anteriores à 12.6.3, atualize para a versão 12.6.3 ou posterior.

Para versões da XWiki Platform anteriores à 12.8, atualize para a versão 12.8 ou posterior.

Como solução temporária, considere restringir o acesso a campos de texto simples e ao App Within Minutes para usuários não registrados e registrados até que seja possível realizar a atualização.

Restrinja os direitos de edição dos usuários para minimizar o risco de exploração.