CVE-2022-23620

Versões da plataforma XWiki anteriores à 13.6-rc-1

O problema decorre do fato de a função AbstractSxExportURLFactoryActionHandler#processSx não escapar corretamente as referências a documentos SSX ao serializá-las no sistema de arquivos. Isso permite que o processo de exportação para HTML contenha elementos de referência com sintaxe do sistema de arquivos, como “../”, “./” ou “/” em geral, o que pode levar a problemas de segurança. Os elementos referenciados não são escapados corretamente.

Para versões anteriores à 13.6-rc-1, atualize para a versão 13.6-rc-1 para resolver o problema.

Como solução alternativa temporária, considere limitar ou desativar a exportação de documentos para minimizar o risco de exploração.

Além disso, conceder direitos de administrador de script ou subwiki apenas a pessoas confiáveis e desativar a exportação para HTML/PDF pode ser feito como solução alternativa até que o problema seja resolvido.