Vulnerabilidad en XWiki Platform Web Templates (CVE-2022-36091)

XWiki Platform Web Templates son plantillas para la plataforma XWiki, una plataforma wiki genérica. mediante la funcionalidad de sugerencia, puede acceder a las propiedades de cadena y lista de los objetos a los que el usuario no debería tener acceso en versiones anteriores a 13.10.4 y 14.2. Esto incluye información personal privada como direcciones de correo electrónico y hashes de contraseñas saladas de usuarios registrados, pero también otra información almacenada en las propiedades de los objetos. Podría accederse a campos de configuración confidenciales como contraseñas para servidores LDAP o SMTP. Al explotar una vulnerabilidad adicional, este problema puede incluso explotarse en wikis privados al menos para las propiedades de cadenas. El problema está parcheado en versiones 13.10.4 y 14.2. Las propiedades de la contraseña ya no son mostradas y los derechos son verificados para otras propiedades. Se presenta una mitigación disponible. El archivo de plantilla "suggest. vm" puede reemplazarse por una versión parcheada sin actualizar o reiniciar XWiki a menos que haya sido anulada, en cuyo caso la plantilla anulada también debe ser parcheada. Sin embargo, esto podría necesitar ajustes para versiones anteriores