PT-2026-56212 · Xwiki+1 · Xwiki+1
Publicado
2026-07-06
·
Atualizado
2026-07-07
·
CVE-2026-34151
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
xWiki versões anteriores a 17.10.5
xWiki versões anteriores a 18.2.0
Description
Quando utilizado com Jetty 12+, um usuário pode criar uma URL para acessar qualquer recurso que a instância do Jetty tenha permissão para acessar. Isso permite o download não autorizado de arquivos sensíveis, como o arquivo
/etc/passwd ou arquivos de configuração internos como xwiki.cfg localizados no diretório WEB-INF. Isso é alcançado através do uso de sequências de travessia de caminho codificadas na URL.Recommendations
Atualize para a versão 17.10.5.
Atualize para a versão 18.2.0.
Utilize um servidor de aplicação diferente do Jetty 12+, como o Tomcat ou versões do Jetty anteriores a 12 (para versões do XWiki anteriores a 17).
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jetty
Xwiki