PT-2026-56212 · Xwiki+1 · Xwiki+1

Publicado

2026-07-06

·

Atualizado

2026-07-07

·

CVE-2026-34151

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas xWiki versões anteriores a 17.10.5 xWiki versões anteriores a 18.2.0
Description Quando utilizado com Jetty 12+, um usuário pode criar uma URL para acessar qualquer recurso que a instância do Jetty tenha permissão para acessar. Isso permite o download não autorizado de arquivos sensíveis, como o arquivo /etc/passwd ou arquivos de configuração internos como xwiki.cfg localizados no diretório WEB-INF. Isso é alcançado através do uso de sequências de travessia de caminho codificadas na URL.
Recommendations Atualize para a versão 17.10.5. Atualize para a versão 18.2.0. Utilize um servidor de aplicação diferente do Jetty 12+, como o Tomcat ou versões do Jetty anteriores a 12 (para versões do XWiki anteriores a 17).

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-34151
GHSA-QJ4X-9G63-25G6

Produtos afetados

Jetty
Xwiki