Highchiuchiusorin

**Nome do software vulnerável e versões afetadas** Versões do macro-pdfviewer anteriores à 2.5.6 **Descrição** O macro-pdfviewer, uma macro de visualização de PDF para o XWiki que utiliza o pdf.js do Mozilla, apresenta uma vulnerabilidade que permite a um invasor visualizar qualquer anexo utilizando o recurso “Delegar meu direito de visualização”. Isso pode ser feito desde que o invasor consiga visualizar uma página cujo último autor tenha acesso ao anexo. O invasor precisa fornecer a referência a um arquivo PDF para a macro, que pode ser obtida acessando o Índice da Página, a guia Anexos e inspecionando a solicitação HTTP que busca as entradas de dados em tempo real. A URL do anexo está disponível no JSON retornado para todos os anexos, incluindo os protegidos. **Recomendações** Para versões anteriores à 2.5.6, atualize para a versão 2.5.6 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao recurso “Delegar meu direito de visualização” até que a atualização seja aplicada. Além disso, restrinja o acesso à guia “Anexos” do Índice de Páginas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do macro-pdfviewer anteriores à 2.5.1 **Descrição** O macro-pdfviewer é uma macro de visualizador de PDF para o XWiki que utiliza o Mozilla pdf.js. Usuários com direitos de edição podem acessar anexos PDF restritos usando a macro de visualizador de PDF, passando a URL do anexo como valor do parâmetro `file`. Além disso, usuários com direitos de visualização podem acessar anexos PDF restritos se estes forem exibidos em páginas públicas onde a macro de visualizador de PDF é chamada usando a URL do anexo em vez de sua referência. **Recomendações** Para versões anteriores à 2.5.1, atualize para a versão 2.5.1 para resolver o problema. Como solução temporária, considere restringir o acesso à macro PDF Viewer para usuários com direitos de edição e visualização até que a atualização seja aplicada. Evite usar o parâmetro `file` na macro PDF Viewer para acessar anexos PDF restritos até que o problema seja resolvido.