CVE-2024-21650 — 神龙十问 AI 深度分析摘要

🚨 **本质**：XWiki 用户注册功能存在 **远程代码执行 (RCE)** 漏洞。 💥 **后果**：攻击者可通过构造恶意载荷，在目标服务器上 **任意执行代码**，彻底接管系统。

🔍 **CWE**：CWE-95（**代码注入**）。 📍 **缺陷点**：用户注册时的 **名字/姓氏字段** 未进行严格过滤，导致恶意代码注入。

📦 **产品**：XWiki Platform。 📅 **受影响版本**： - 14.10.17 之前 - 15.5.3 之前 - 15.8-rc-1 之前

👑 **权限**：无需认证，直接获取 **系统级权限**。 📂 **数据**：可读取/修改所有数据，甚至控制底层服务器。

🚪 **门槛**：**极低**。 🔑 **条件**： - **无需登录** (PR:N) - **无需交互** (UI:N) - 仅需目标开启 **访客用户注册** 功能。

💣 **Exp**：有现成 PoC。 🔗 **来源**：ProjectDiscovery Nuclei 模板已收录，可直接自动化扫描利用。

🔎 **自查**： 1. 检查是否开启 **公开注册**。 2. 使用 Nuclei 模板 `CVE-2024-21650.yaml` 进行扫描。 3. 尝试在注册页输入特殊字符测试注入。

🛡️ **补丁**：官方已修复。 ✅ **升级**：升级至 **14.10.17+**、**15.5.3+** 或 **15.8-rc-1+** 版本。

🚧 **临时规避**： - **关闭** 访客/匿名用户的 **用户注册** 功能。 - 限制注册 IP 或启用验证码。

🔥 **优先级**：**极高 (Critical)**。 ⚠️ **建议**：CVSS 9.8 分，**立即升级** 或关闭注册入口，防止被自动化脚本批量攻击。