漏洞描述
XWiki 平台是一个通用的 wiki 平台,为构建在其之上的应用程序提供运行时服务。文档 "SkinsCode.XWikiSkinsSheet" 中的转义不正确会导致从该文档上的视图到编程权限的注入向量,可以执行任意脚本宏,包括 Groovy 和 Python 宏,这些宏允许远程代码执行,包括对所有 wiki 内容的无限制读写访问。攻击者可以通过打开一个不存在的页面来实现,该页面的名称被精心设计为包含危险的有效载荷。可以检查现有安装是否存在漏洞。
XWiki Platform /bin/view/ 代码执行漏洞(CVE-2023-37462)
PoC代码
暂无相关漏洞推荐
-
XWiki Platform /rest/wikis/xwiki/pages 权限绕过漏洞(CVE-2025-29925) 无POC
2025-09-12 | XWiki PlatformXWiki平台是一个通用的维基平台。在15.10.14、16.4.6和16.10.0-rc-1之前,当请求REST端点/rest/wikis/[wikiName]/pages时,即使用户没有查看权限,... -
CVE-2023-37462: XWiki Platform - Remote Code Execution POC
2025-08-01 | XWiki PlatformXWiki Platform is a generic wiki platform offering runtime services for applications built on top of... -
CVE-2024-45591: XWiki Platform - Unauthorized Document History Access POC
2025-08-01 | XWiki PlatformA vulnerability in XWiki Platform's REST API allows unauthorized users to access document histo... -
PrestaShop /module/tshirtecommerce/designer SQL 注入漏洞(CVE-2023-27637) 无POC
2025-09-19 | PrestaShop在 PrestaShop 的 tshirtecommerce(又名自定义产品设计器)组件 2.1.4 中发现了一个问题。可以使用受损的 product_id GET 参数伪造 HTTP 请求,以利用前... -
PrestaShop SQL 注入漏洞(CVE-2023-46358) 无POC
2025-09-19 | PrestaShopSnegurka for PrestaShop模块中的“Referral and Affiliation Program”(推荐和联盟计划)版本3.5.1及之前版本中存在漏洞。通过在方法'R...