关键信息 1. 漏洞描述: - 漏洞名称: Missing checks for notification filter preferences editions - 漏洞编号: GHSA-r95w-889q-x2gx - 发布日期: 昨天 - 严重性: 中等 (Moderate) - CVSS v3: 6.5 / 10 2. 受影响的版本: - 受影响的版本: >= 13.2-rc-1 - 已修复的版本: 14.10.21, 15.5.5, 15.10.1, 16.0-rc-1 3. 描述: - 任何知道另一个用户的通知过滤器偏好ID的用户,都可以启用、禁用或删除它。 - 这可能导致目标用户在某些页面上丢失通知。 - 该漏洞自XWiki 13.2-rc-1以来存在。 4. 补丁: - 已在XWiki 14.10.21, 15.5.5, 15.10.1, 16.0-rc-1中修复。 - 补丁包括在用户执行任何过滤器操作之前正确检查其权限。 5. 工作绕过: - 可以通过手动编辑文档 来修复漏洞,应用此提交中的更改。 6. 参考: - JIRA票: https://jira.xwiki.org/browse/XWIKI-20337 - 提交: e8acc9d 7. 更多信息: - 可以在Jira XWiki.org或Security Mailing List中提出问题或评论。 8. 归因: - 漏洞由Intigriti的@floerer报告。