CVE-2023-45138 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Change Request 组件存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可通过构造恶意标题，实现 **脚本注入** 甚至 **远程代码执行 (RCE)**，严重危害系统安全。

🔍 **CWE**：CWE-79 (跨站脚本)。 📍 **缺陷点**：在创建新的变更请求时，对 **标题 (Title)** 输入缺乏严格的过滤或转义处理，导致恶意脚本被直接执行。

📦 **厂商**：xwiki-contrib。 🧩 **组件**：application-changerequest (XWiki Contrib 开源库)。 📅 **时间**：2023-10-12 披露。

🕵️ **权限**：**无需特定权限**，任何用户均可利用。 📊 **数据/影响**：可执行任意脚本，导致 **远程代码执行**，完全控制受影响的应用实例，数据泄露风险极高。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证** (PR:N)。 🖱️ **交互**：**无需用户交互** (UI:N)。 🌐 **攻击向量**：网络远程 (AV:N)。 ⚡ **复杂度**：低 (AC:L)。 📈 **CVSS**：满分高危 (10.0)。

🧪 **PoC**：数据中未提供公开 PoC 代码。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：可查阅 GitHub 提交记录或 Jira 工单确认细节。

🔎 **自查特征**：检查 XWiki 环境中是否部署了 **application-changerequest** 组件。 📝 **测试方法**：尝试在创建变更请求时输入 XSS 测试 payload（如 `<script>alert(1)</script>`）到标题栏，观察是否执行。

🛡️ **官方修复**：**已修复**。 🔗 **补丁链接**：GitHub Commit `7565e72`。 📖 **详情**：参见 GitHub Security Advisory (GHSA-f776-w9v2-7vfj)。

⚠️ **临时规避**：若无法立即升级，建议 **限制组件访问权限** 或 **禁用该组件**。 🚫 **输入过滤**：在网关或应用层对变更请求标题进行严格的 **HTML 实体编码** 或 **脚本标签过滤**。

🔥 **优先级**：**极高 (Critical)**。 💡 **建议**：由于 **无需认证** 且可导致 **RCE**，建议 **立即升级** 至修复版本，或应用临时缓解措施，防止被自动化扫描器利用。