CVE-2022-36091

Versões do XWiki Platform Web Templates anteriores à 13.10.4 e à 14.2

A vulnerabilidade permite o acesso a propriedades de string e lista de objetos aos quais o usuário não deveria ter acesso, incluindo informações pessoais privadas, como endereços de e-mail e hashes de senhas com salt de usuários registrados, bem como campos de configuração confidenciais, como senhas para servidores LDAP ou SMTP. Isso pode ser explorado em wikis privadas, pelo menos para propriedades de string, aproveitando uma vulnerabilidade adicional.

Para versões anteriores à 13.10.4, atualize para a versão 13.10.4 ou posterior.

Para versões anteriores à 14.2, atualize para a versão 14.2 ou posterior.

Como solução temporária, considere substituir o arquivo de modelo suggest.vm por uma versão corrigida sem atualizar ou reiniciar o XWiki, a menos que ele tenha sido substituído; nesse caso, o modelo substituído também deve ser corrigido. No entanto, isso pode exigir ajustes para versões mais antigas.