CVE-2024-52298

Versões do macro-pdfviewer anteriores à 2.5.6

O macro-pdfviewer, uma macro de visualização de PDF para o XWiki que utiliza o pdf.js do Mozilla, apresenta uma vulnerabilidade que permite a um invasor visualizar qualquer anexo utilizando o recurso “Delegar meu direito de visualização”. Isso pode ser feito desde que o invasor consiga visualizar uma página cujo último autor tenha acesso ao anexo. O invasor precisa fornecer a referência a um arquivo PDF para a macro, que pode ser obtida acessando o Índice da Página, a guia Anexos e inspecionando a solicitação HTTP que busca as entradas de dados em tempo real. A URL do anexo está disponível no JSON retornado para todos os anexos, incluindo os protegidos.

Para versões anteriores à 2.5.6, atualize para a versão 2.5.6 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao recurso “Delegar meu direito de visualização” até que a atualização seja aplicada. Além disso, restrinja o acesso à guia “Anexos” do Índice de Páginas para minimizar o risco de exploração.