XWiki Platform — это универсальная вики-платформа, предлагающая службы времени выполнения для приложений, построенных на ее основе. XWiki неправильно экранирует параметр URL раздела, который используется в коде для отображения разделов администрирования. Это позволяет любому пользователю с правами на чтение документа XWiki.AdminSheet (по умолчанию всем, включая неаутентифицированных пользователей) выполнять код, включая код Groovy. Это влияет на конфиденциальность, целостность и доступность всего экземпляра XWiki. Эта уязвимость была исправлена в XWiki 14.10.14, 15.6 RC1 и 15.5.1. Пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, могут применить исправление в коммите fec8e0e53f9 вручную. В качестве альтернативы, для защиты от атак неаутентифицированных пользователей можно удалить право просмотра для гостей из этого документа (это необходимо только для администраторов пространства и вики).