CVE-2024-26138

Versões do XWiki Application Licensing anteriores à 1.24.2

O aplicativo de licenciamento do XWiki inclui um documento público Licenses.Code.LicenseJSON que expõe informações confidenciais, incluindo o ID da instância, nome e sobrenome, e e-mail do proprietário da licença. Esse vazamento de informações pode ser usado para ataques de phishing direcionados. O ID da instância pode ser associado a dados de instalações ativas, e os endereços de e-mail podem ser exibidos de forma ofuscada, dependendo da configuração.

Para versões anteriores à 1.24.2, atualize para o Application Licensing 1.24.2 para corrigir o problema. Não há soluções alternativas conhecidas além da atualização. Como solução temporária, considere restringir o acesso ao documento Licenses.Code.LicenseJSON até que a atualização seja aplicada.