关键漏洞信息 漏洞标题 No required right warnings for XClass definitions 严重性 High CVSS v4 base metrics: 8.6 / 10 影响范围 Package: Affected versions: - - - Patched versions: - - - 描述与影响 当一个没有脚本或编程权限的攻击者在XWiki中创建一个XClass定义(需要编辑权限),并且该文档后来被具有脚本、管理员或编程权限的用户编辑时,恶意代码可能会以编辑用户的权限执行,而无需事先警告。 特别是,这涉及到自定义显示代码、计算属性的脚本和数据库列表属性中的查询。 补丁 在XWiki 16.10.2、16.4.7和15.10.16中通过添加对相应XClass属性的分析进行了修补。 解决方案 目前没有实际的解决方法,除了在编辑之前由不受信任用户编辑的文档时要小心。 参考资料 https://jira.xwiki.org/browse/XWIKI-22476 CVE ID CVE-2025-49585 弱点 No CWEs