CVE-2024-52299丨PDF 查看器宏允许访问任何附件而无需访问权限检查

2024年11月14日 184点热度 0人点赞 0条评论

PDF 查看器宏允许访问任何附件而无需访问权限检查（CVE-2024-52299）

CVE编号

CVE-2024-52299

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-14

漏洞描述

macro-pdfviewer是一个用于XWiki的PDF查看器宏，它使用Mozilla pdf.js。任何拥有XWiki.PDFViewerService查看权限的用户都可以访问wiki中存储的任何附件，因为用于防止这种情况的“密钥”计算不正确，调用摘要流上的跳过不会更新摘要。这个问题已在2.5.6版本中修复。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/xwikisas/macro-pdfviewer/security/advisories/GHSA-522m-m242-jr9p

CVE-2024-52299丨PDF 查看器宏允许访问任何附件而无需访问权限检查

PDF 查看器宏允许访问任何附件而无需访问权限检查（CVE-2024-52299）

漏洞描述

解决建议

参考链接

文章评论