【严重漏洞】【POC公开】XWiki平台存在权限提升漏洞等多个漏洞

漏洞名称：XWiki平台存在权限提升漏洞等多个漏洞

漏洞出现时间：2023年11月8日

影响等级：严重

影响版本：

全版本                            

漏洞说明：

    在XWiki平台中，用户可以编写一个脚本，在该脚本中，任何速度内容都可以在任何其他文档内容作者的权限下执行。复制：作为一个拥有脚本但没有编程权限的用户，创建一个具有以下内容的文档：``｛｛velocity｝｝#set（$main=$xwiki.getDocument（'AppWithinMinutes.DynamicMessageTool'））$main.setTitle（'$doc.getDocument（）.getContentAuthor（）'）$main.getPlainTitle（）｛/velocity}｝``由于此API需要编程权限，而用户没有，预期的结果是“$doc.docdocument.authors.contentAuthor”（未执行脚本），不幸的是，由于存在安全漏洞，我们得到了“XWiki.supadmin”，该漏洞显示标题是使用未修改文档的权限执行的。

修复方式：

• https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmxw-c48h-2vf5

相关链接：

• https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmxw-c48h-2vf5          

• https://nvd.nist.gov/vuln/detail/CVE-2023-46244