Vulnerabilidad en outline (CVE-2026-28506)

Outline es un servicio que permite la documentación colaborativa. Antes de la versión 1.5.0, el endpoint de la API events.list, utilizado para recuperar registros de actividad, contiene un fallo lógico en su mecanismo de filtrado. Permite a cualquier usuario autenticado recuperar eventos de actividad asociados con documentos que no tienen colección (por ejemplo, Borradores Privados, Documentos Eliminados), independientemente de los permisos reales del usuario sobre esos documentos. Aunque el contenido del documento no se expone directamente, esta vulnerabilidad filtra metadatos sensibles (como IDs de Documentos, marcas de tiempo de actividad del usuario, y en algunos casos específicos como el Título del Documento de Eliminación Permanente). Fundamentalmente, la filtración de IDs de Documentos válidos de borradores eliminados elimina la protección de la aleatoriedad de los UUID, haciendo que los ataques IDOR de alta severidad (como el identificado en documents.restore) sean trivialmente explotables al reducir la complejidad del ataque. La versión 1.5.0 corrige el problema.