CVE-2025-32974 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:XWiki 权限分析不完整。 💥 **后果**:恶意脚本可执行,系统面临严重安全风险。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-116(不正确的编码/处理)。 📍 **缺陷**:权限检查逻辑存在漏洞,未能正确拦截非法操作。
Q3影响谁?(版本/组件)
📦 **产品**:XWiki Platform。 📅 **版本**:15.10.8 之前版本,以及 16.2.0 之前版本。
Q4黑客能干啥?(权限/数据)
⚔️ **权限**:需低权限用户即可触发。 📊 **数据**:可导致高机密性、高完整性及高可用性损失。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 🔑 **条件**:需要 **本地网络 (AV:N)**、**低攻击复杂度 (AC:L)**,但需要 **用户交互 (UI:R)** 和 **低权限 (PR:L)**。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:数据中未提供现成 PoC。 🌍 **在野**:暂无在野利用报告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 XWiki 版本号是否低于 15.10.8 或 16.2.0。 🛠️ **扫描**:关注权限校验相关的日志异常。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:已修复。 🔗 **参考**:GitHub Advisory (GHSA-mvgm-3rw2-7j4r) 及 Jira XWIKI-22002。
Q9没补丁咋办?(临时规避)
⏳ **临时**:升级至安全版本。 🚫 **规避**:若无补丁,限制用户交互权限,严格审查脚本执行策略。
Q10急不急?(优先级建议)
⚡ **优先级**:高。 📈 **CVSS**:高危(H)。建议尽快升级,避免脚本执行风险。