一、 漏洞 CVE-2025-53835 基础信息
漏洞信息
# XWiki渲染由于不安全的XHTML语法易受到XSS攻击
## 漏洞概述
XWiki Rendering 是一种通用的渲染系统,能够将特定语法(如 Wiki 语法、HTML 等)转换为另一种语法(如 XHTML 等)。在版本 5.4.5 到 14.10 之间,XHTML 语法依赖于 `xdom+xml/current` 语法,这允许创建包含任意 HTML 内容(包括 JavaScript)的原始块,从而导致跨站脚本(XSS)攻击。
## 影响版本
- **受影响版本**: 5.4.5 到 14.9
- **修复版本**: 14.10
## 细节
在受影响的版本中,XHTML 语法依赖于 `xdom+xml/current` 语法,这使得可以插入任意的 HTML 和 JavaScript 内容。这种依赖导致了一个跨站脚本(XSS)漏洞。只有在用户可以编辑文档(例如用户配置文件,默认启用)的情况下,攻击者才能利用此漏洞。
该漏洞已在版本 14.10 中修复,通过删除 XHTML 语法中对 `xdom+xml/current` 语法的依赖。需要注意的是,`xdom+xml` 语法仍然易受此攻击,但由于其主要用于测试且使用复杂,不建议在常规 Wiki 中安装或使用。
## 影响
该漏洞使具有编辑权限的用户容易受到 XSS 攻击,可能导致敏感信息泄露、恶意脚本执行等风险。已知的唯一解决方法是升级到修复版本 14.10。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53835 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53835 的情报信息
-
标题: [XRENDERING-660] XSS via the xdom+xml Syntax and RawBlock due to xdom+xml/current dependency - XWiki.org JIRA -- 🔗来源链接
标签: x_refsource_MISC
神龙速读![[XRENDERING-660] XSS via the xdom+xml Syntax and RawBlock due to xdom+xml/current dependency - XWiki.org JIRA](https://cvepdf.imfht.com:2443//ti_screenshot/2025-07-15/screenshot-full-2025-07-15T04-55-34.611Z-94ade8ad4f33f90e6df9.webp)
-
标题: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in a dependency of org.xwiki.rendering:xwiki-rendering-syntax-xhtml · Advisory · xwiki/xwiki-rendering · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: XRENDERING-660: Get rid of the dependency on the xdom+xml syntax (#230) · xwiki/xwiki-rendering@a4ca31f · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53835