Vulnerabilidad en XWiki Platform (CVE-2024-46979)

XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. Es posible obtener acceso a los filtros de notificación de cualquier usuario mediante una URL como `xwiki/bin/get/XWiki/Notifications/Code/NotificationFilterPreferenceLivetableResults?outputSyntax=plain&type=custom&user=`. Esta vulnerabilidad afecta a todas las versiones de XWiki desde la 13.2-rc-1. Los filtros no proporcionan mucha información (principalmente contienen referencias que son datos públicos en XWiki), aunque parte de la información podría utilizarse en combinación con otras vulnerabilidades. Esta vulnerabilidad ha sido corregida en XWiki 14.10.21, 15.5.5, 15.10.1, 16.0RC1. El parche consiste en comprobar los derechos del usuario al enviar los datos. Se recomienda a los usuarios que actualicen la versión. Es posible solucionar la vulnerabilidad aplicando el parche manualmente: un administrador puede editar directamente el documento `XWiki.Notifications.Code.NotificationFilterPreferenceLivetableResults` para aplicar los mismos cambios que en el parche. Consulte el commit c8c6545f9bde6f5aade994aa5b5903a67b5c2582.