CVE-2022-36100

Aplicações da Plataforma XWiki Tag, versões 1.7 a 13.10.5

Plataforma XWiki Tag UI, versões anteriores à 13.10.6 e 14.4

O documento de tags Main.Tags no XWiki não sanitizava as entradas do usuário adequadamente, permitindo que usuários com direitos de visualização no documento executassem código arbitrário em Groovy, Python e Velocity com direitos de programação. Isso permitia contornar todas as verificações de direitos e, consequentemente, tanto a modificação quanto a divulgação de todo o conteúdo armazenado na instalação do XWiki. A vulnerabilidade poderia ser usada para afetar a disponibilidade do wiki. Nas versões do XWiki anteriores à 13.10.4 e 14.2, isso pode ser combinado com uma contornada de autenticação, o que significa que não são necessários direitos para realizar o ataque.

Para as versões 1.7 a 13.10.5 do XWiki Platform Applications Tag, atualize para a versão 13.10.6 ou posterior.

Para as versões do XWiki Platform Tag UI anteriores à 13.10.6 e 14.4, atualize para a versão 13.10.6 ou 14.4 ou posterior.

Como solução temporária, o patch que corrige o problema pode ser aplicado manualmente ao documento Main.Tags ou a versão atualizada desse documento pode ser importada da versão 14.4 do xwiki-platform-tag-ui usando o recurso de importação na interface de administração do XWiki 10.9 e versões posteriores.