CVE-2026-24128

Nome do Software Vulnerável e Versões Afetadas XWiki Platform versões 7.0-milestone-2 até 16.10.11 XWiki Platform versões 17.0.0-rc-1 até 17.4.4 XWiki Platform versões 17.5.0-rc-1 até 17.7.0

Descrição O XWiki Platform apresenta uma vulnerabilidade de Cross-site Scripting (XSS) refletido. Isso permite que um atacante crie uma URL maliciosa que, ao ser acessada por uma vítima, pode executar ações arbitrárias com os mesmos privilégios da vítima. Caso a vítima tenha direitos administrativos ou de programação, um atacante poderá obter acesso total à instalação do XWiki. O problema está na infraestrutura de logs da plataforma, permitindo que atacantes injetem scripts maliciosos por meio de identificadores de extensão criados especificamente.

Recomendações XWiki Platform versões 7.0-milestone-2 até 16.10.11: Atualize para a versão 16.10.12 ou posterior. XWiki Platform versões 17.0.0-rc-1 até 17.4.4: Atualize para a versão 17.4.5 ou posterior. XWiki Platform versões 17.5.0-rc-1 até 17.7.0: Atualize para a versão 17.8.0-rc-1 ou posterior. Como solução temporária, aplique manualmente o patch alterando uma única linha no arquivo templates/logging macros.vm. Não é necessário reiniciar.