PT-2024-23306 · Mozilla · Pdf.Js
Highchiuchiusorin
·
Publicado
2024-04-04
·
Atualizado
2024-04-04
·
CVE-2024-30263
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do macro-pdfviewer anteriores à 2.5.1
Descrição
O macro-pdfviewer é uma macro de visualizador de PDF para o XWiki que utiliza o Mozilla pdf.js. Usuários com direitos de edição podem acessar anexos PDF restritos usando a macro de visualizador de PDF, passando a URL do anexo como valor do parâmetro
file. Além disso, usuários com direitos de visualização podem acessar anexos PDF restritos se estes forem exibidos em páginas públicas onde a macro de visualizador de PDF é chamada usando a URL do anexo em vez de sua referência.Recomendações
Para versões anteriores à 2.5.1, atualize para a versão 2.5.1 para resolver o problema. Como solução temporária, considere restringir o acesso à macro PDF Viewer para usuários com direitos de edição e visualização até que a atualização seja aplicada. Evite usar o parâmetro
file na macro PDF Viewer para acessar anexos PDF restritos até que o problema seja resolvido.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pdf.Js