漏洞描述
XWiki 平台是一个通用的 wiki 平台,为构建在其之上的应用程序提供运行时服务。文档 "SkinsCode.XWikiSkinsSheet" 中的转义不正确会导致从该文档上的视图到编程权限的注入向量,可以执行任意脚本宏,包括 Groovy 和 Python 宏,这些宏允许远程代码执行,包括对所有 wiki 内容的无限制读写访问。攻击者可以通过打开一个不存在的页面来实现,该页面的名称被精心设计为包含危险的有效载荷。可以检查现有安装是否存在漏洞。
XWiki Platform /bin/view/ 代码执行漏洞(CVE-2023-37462)
PoC代码
暂无相关漏洞推荐
- POC CVE-2025-32429: XWiki Platform - SQL Injection
- XWiki Platform /bin/register/XWiki/XWikiRegister 代码执行漏洞(CVE-2024-21650)
- XWiki Platform /bin/ssx/Main/WebHome 目录遍历漏洞(CVE-2025-55748)
- XWiki Platform /rest/wikis/xwiki/pages 权限绕过漏洞(CVE-2025-29925)
- POC CVE-2023-37462: XWiki Platform - Remote Code Execution
- POC CVE-2024-45591: XWiki Platform - Unauthorized Document History Access
- POC CVE-2025-24893: XWiki Platform - Remote Code Execution
- POC CVE-2025-32430: XWiki Platform - Cross-Site Scripting
- POC CVE-2025-55747: XWiki Platform - Information Disclosure
- POC CVE-2025-55748: XWiki Platform - Path Traversal