漏洞信息
# XWiki平台通过字符串属性中的XClass名称允许XSS
## 概述
XWiki Platform是一款通用的wiki平台,为在其上构建的应用程序提供运行时服务。存在一个漏洞,允许没有脚本或编程权限的用户构造一个指向包含任意JavaScript的页面的URL。这需要通过社会工程手段诱使用户访问该URL。
## 影响版本
- XWiki 14.10.20及之前版本
- XWiki 15.5.4及之前版本
- XWiki 15.10.5及之前版本
- XWiki 15.9.9及之前版本
## 细节
攻击者可以通过构造一个URL,使用户访问此URL时加载包含任意JavaScript的页面。这种攻击需要通过社会工程学手段诱使目标用户点击或访问该URL。
## 影响
该漏洞可能导致XSS(跨站脚本攻击),攻击者可以通过向用户发送特定的URL,在用户访问该URL时执行任意JavaScript代码,进而获取用户的敏感信息或执行其他恶意操作。
## 修补版本
此漏洞已在以下版本中修复:
- XWiki 14.10.21
- XWiki 15.5.5
- XWiki 15.10.6
- XWiki 16.0.0
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞允许没有脚本或编程权限的用户通过构造特定的URL向页面注入任意的JavaScript代码,这可能导致其他用户在访问该页面时执行恶意脚本。虽然需要一定的社会工程技巧来诱使用户点击链接,但这仍然是一个典型的服务端漏洞,因为它允许未经充分权限验证的代码执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
XWiki Platform allows XSS through XClass name in string properties
漏洞描述信息
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. It is possible for a user without Script or Programming rights to craft a URL pointing to a page with arbitrary JavaScript. This requires social engineer to trick a user to follow the URL. This has been patched in XWiki 14.10.21, 15.5.5, 15.10.6 and 16.0.0.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
漏洞类别
静态存储代码中指令转义处理不恰当(静态代码注入)
漏洞标题
XWiki Platform 安全漏洞
漏洞描述信息
XWiki Platform是XWiki开源的一套用于创建Web协作应用程序的Wiki平台。 XWiki Platform存在安全漏洞。攻击者利用该漏洞可以使用任意JavaScript制作指向页面的URL。
CVSS信息
N/A
漏洞类别
其他