Vulnerabilidad en XWiki Platform (CVE-2024-46978)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/09/2024
Última modificación:
07/02/2025
Descripción
XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. Es posible que cualquier usuario que conozca el ID de una preferencia de filtro de notificaciones de otro usuario la habilite, deshabilite o incluso elimine. El impacto es que el usuario objetivo puede comenzar a perder notificaciones en algunas páginas debido a esto. Esta vulnerabilidad está presente en XWiki desde 13.2-rc-1. Esta vulnerabilidad ha sido parcheada en XWiki 14.10.21, 15.5.5, 15.10.1, 16.0-rc-1. El parche consiste en verificar correctamente los derechos del usuario antes de realizar cualquier acción en los filtros. Se recomienda a los usuarios que actualicen. Es posible corregir manualmente la vulnerabilidad editando el documento `XWiki.Notifications.Code.NotificationPreferenceService` para aplicar los cambios realizados en el commit e8acc9d8e6af7dfbfe70716ded431642ae4a6dd4.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 13.2 (incluyendo) | 14.10.21 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.5.5 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.6 (incluyendo) | 15.10.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página