Vulnerabilidad en XWiki (CVE-2023-37911)

XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. A partir de la versión 9.4-rc-1 y anteriores a las versiones 14.10.8 y 15.3-rc-1, cuando un documento se elimina y se vuelve a crear, es posible que los usuarios con derecho de visualización en el documento recreado pero no en el documento eliminado para ver el contenido del documento eliminado. Esta situación podría surgir cuando se agregaron derechos al documento eliminado. Esto se puede explotar a través de la función de diferenciación y, parcialmente, a través de la API REST mediante el uso de versiones como `deleted:1` (donde el número cuenta las eliminaciones en la wiki y, por lo tanto, se puede adivinar). Con derechos suficientes, el atacante también puede volver a crear el documento eliminado, ampliando así el alcance a cualquier documento eliminado siempre que el atacante tenga derecho de edición en la ubicación del documento eliminado. Esta vulnerabilidad se ha solucionado en XWiki 14.10.8 y 15.3 RC1 comprobando correctamente los derechos cuando se accede a revisiones eliminadas de un documento. El único workaround es limpiar periódicamente los documentos eliminados para minimizar la posible exposición. Se debe tener especial cuidado al eliminar documentos confidenciales que están protegidos individualmente (y no, por ejemplo, al colocarlos en un espacio protegido) o al eliminar un espacio protegido en su totalidad.