漏洞信息
# 在org.xwiki.commons:xwiki-commons-xml 中数据属性名称中非法字符的不正确中和
## 概述
`org.xwiki.commons:xwiki-commons-xml` 是 XWiki 开源维基平台使用的 XML 库。自版本 14.6-rc-1 引入的 HTML 清理器允许注入任意 HTML 代码,从而造成跨站脚本(XSS)攻击。此漏洞通过无效的数据属性引起。
## 影响版本
- 14.6-rc-1 到 14.10.3
- 15.0-rc-1 之前的所有 15.0 版本
## 细节
在 HTML 清理器中,数据属性可以包含无效字符(如 `/` 和 `>`),这是产生漏洞的关键原因。此问题已在版本 14.10.4 和 15.0 RC1 通过确保数据属性仅包含允许的字符得到修复。
## 影响
- 允许注入任意 HTML 代码,引发跨站脚本(XSS)攻击。
- 该问题未影响受限的 HTML 清理模式,因为在该模式中无效数据属性会被清洗,且不允许包含特殊字符如 `/` 和 `>`。
神龙判断
是否为 Web 类漏洞:
未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Improper Neutralization of Invalid Characters in Data Attribute Names in org.xwiki.commons:xwiki-commons-xml
漏洞描述信息
`org.xwiki.commons:xwiki-commons-xml` is an XML library used by the open-source wiki platform XWiki. The HTML sanitizer, introduced in version 14.6-rc-1, allows the injection of arbitrary HTML code and thus cross-site scripting via invalid data attributes. This vulnerability does not affect restricted cleaning in HTMLCleaner as there attributes are cleaned and thus characters like `/` and `>` are removed in all attribute names. This problem has been patched in XWiki 14.10.4 and 15.0 RC1 by making sure that data attributes only contain allowed characters. There are no known workarounds apart from upgrading to a version including the fix.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
漏洞类别
Web页面标识中非法字符转义处理不恰当
漏洞标题
XWiki Platform 跨站脚本漏洞
漏洞描述信息
XWiki Platform是法国XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。 XWiki Platform 14.6-rc-1到14.10.4版本存在安全漏洞,该漏洞源于HTML 元素清理器会接受无效数据属性,允许跨站脚本攻击。
CVSS信息
N/A
漏洞类别
跨站脚本