Vulnerabilidad en XWiki Platform (CVE-2024-37898)

XWiki Platform es una plataforma wiki genérica que ofrece servicios de ejecución para aplicaciones creadas sobre ella. Cuando un usuario tiene derecho de ver pero no de editar en una página en XWiki, ese usuario puede eliminar la página y reemplazarla por una página con contenido nuevo sin tener derecho de eliminación. La versión anterior de la página se mueve a la papelera de reciclaje y un administrador puede restaurarla desde allí. Como el usuario está registrado como eliminador, en teoría el usuario también podría ver el contenido eliminado, pero esto no es directamente posible ya que los derechos de la versión anterior se transfieren a la nueva página y, por lo tanto, el usuario aún no puede verlo. justo en la página. Por lo tanto, no parece posible explotar esto para obtener ningún derecho. Esto se ha parcheado en XWiki 14.10.21, 15.5.5 y 15.10.6 cancelando las operaciones de guardado por parte de los usuarios cuando se guarda un nuevo documento a pesar de que ya existe.