Платформа XWiki - это универсальная вики-платформа, предоставляющая сервисы для приложений, построенных на ее основе. В версиях XWiki Platf…

Платформа XWiki - это универсальная вики-платформа, предоставляющая сервисы для приложений, построенных на ее основе. В версиях XWiki Platform Legacy Old Core и XWiki Platform Old Core от 1.1 до 16.4.6, 16.5.0-rc-1 до 16.10.4 и 17.0.0-rc-1 до 17.1.0 экспорт страницы в формате XML, который может быть инициирован любым пользователем с правами просмотра страницы путем добавления ?xpage=xml к URL, включает свойства пароля и электронной почты, хранящиеся в документе, даже если они не названы password или email. Эта уязвимость была исправлена в версиях 16.4.7, 16.10.5 и 17.2.0-rc-1. В качестве обходного пути можно удалить файл templates/xml.vm из развернутого WAR, если экспорт XML не нужен. В самой XWiki нет функций, зависящих от этого экспорта [1]. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-57q2-6cp4-9mq3 - [2] https://github.com/xwiki/xwiki-platform/commit/742ee3482ef6c2bd4ad03d0de9cdd81d0e8f3d59 - [3] https://jira.xwiki.org/browse/XWIKI-22810