Plataforma
java
Componente
org.xwiki.platform:xwiki-platform-oldcore
Corrigido em
1.8.1
17.0.1
17.5.1
1.8.1
17.0.1
17.5.1
16.10.16
Uma vulnerabilidade de esgotamento de recursos foi identificada no XWiki Platform. Em versões específicas, o uso de endpoints da API REST, como /xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties, pode levar ao esgotamento de recursos do servidor. Isso ocorre devido à listagem de todas as páginas disponíveis sem aplicar limites de consulta, especialmente em wikis grandes. A correção está disponível na versão 16.10.16.
A vulnerabilidade CVE-2026-40104 afeta o XWiki Platform em versões anteriores a 16.10.16, 17.4.8 e 17.10.1. O problema reside em endpoints da API REST que listam páginas disponíveis como parte dos metadados para propriedades de lista de banco de dados. Em wikis grandes, isso pode levar ao esgotamento de recursos. A consulta de /xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties pode consumir memória e tempo de processamento excessivos, impactando negativamente o desempenho geral da plataforma.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação maliciosa para o endpoint da API REST. Ele pode aproveitar a listagem de páginas para esgotar os recursos do servidor, o que pode resultar em uma condição de negação de serviço (DoS). A probabilidade de exploração depende do tamanho do wiki e da configuração da API. Wikis com um grande número de páginas são mais suscetíveis a este tipo de ataque.
Organizations heavily reliant on XWiki Platform for knowledge management and collaboration are at risk, particularly those with large wikis and high user traffic. Shared hosting environments where multiple wikis reside on the same server are also at increased risk, as a successful attack on one wiki could impact others.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
Para mitigar este risco, atualize para uma versão do XWiki que inclua a correção. As versões 16.10.16, 17.4.8 e 17.10.1 já implementaram a solução, que aplica o limite de consulta configurado aos valores disponíveis para as propriedades de lista de banco de dados. A atualização é a forma mais eficaz de proteger sua instância do XWiki. Se a atualização imediata não for possível, monitore o uso de recursos do servidor e restrinja o acesso aos endpoints afetados até que a atualização possa ser realizada.
Actualice XWiki Platform a la versión 16.10.16 o superior, 17.4.8 o superior, o 17.10.1 o superior para mitigar la vulnerabilidad de agotamiento de recursos en las API REST. La actualización corrige la falta de límites de consulta en las llamadas a la API que pueden agotar los recursos del servidor en wikis grandes. Consulte la documentación oficial de XWiki para obtener instrucciones detalladas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Versões anteriores a 16.10.16, 17.4.8 e 17.10.1 são vulneráveis a esta vulnerabilidade.
Você pode verificar a versão do XWiki acessando a página de informações da plataforma na interface de administração.
Se não puder atualizar imediatamente, monitore o uso de recursos do servidor e restrinja o acesso aos endpoints afetados.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas auditorias de segurança regulares são recomendadas.
Esta vulnerabilidade pode causar uma negação de serviço (DoS) ao esgotar os recursos do servidor.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.