CVE-2022-24898

xwiki-commons-xml versões 2.7 a 12.10.9

xwiki-commons-xml versões 13.0.0 a 13.4.3

xwiki-commons-xml versões 13.8-rc-0 e anteriores

A vulnerabilidade permite que um script acesse qualquer arquivo acessível ao usuário que estiver executando o servidor de aplicativos XWiki por meio de injeção de entidade externa XML (XML External Entity Injection) através do serviço de scripts XML. Isso pode ser feito explorando o serviço de scripts XML, por exemplo, usando um script velocity que defina uma variável xxe payload com uma carga XML maliciosa, que inclui uma entidade que faz referência a um arquivo local, como file:///etc/passwd. O script então analisa essa carga usando a função xml.parse() e serializa o resultado usando xml.serialize(). O número estimado de dispositivos potencialmente afetados não foi fornecido.

Para as versões 2.7 a 12.10.9 do xwiki-commons-xml, atualize para a versão 12.10.10 ou posterior.

Para as versões 13.0.0 a 13.4.3 do xwiki-commons-xml, atualize para a versão 13.4.4 ou posterior.

Para as versões 13.8-rc-0 e anteriores do xwiki-commons-xml, atualize para a versão 13.8-rc-1 ou posterior.

Como medida de mitigação geral, tenha cuidado ao conceder direitos de Script para minimizar o risco de exploração.