关键漏洞信息 漏洞标题 Required right warnings for macros are incomplete 严重性 High (8.6 / 10) 影响版本 : - 受影响版本: >= 15.9-rc1, = 16.5.0-rc1, = 17.0.0-rc1, = 15.9-rc1, = 16.5.0-rc1, = 17.0.0-rc1, = 15.9-rc1, = 16.5.0-rc1, = 17.0.0-rc1, = 15.9-rc1, = 16.5.0-rc1, = 17.0.0-rc1, < 17.0.0 - 修复版本: 16.4.7, 16.10.3, 17.0.0 描述与影响 当编辑包含“危险”宏的内容时,如恶意脚本宏,XWiki 在 XWiki 15.9RC1 中警告这些宏的执行。这些警告是不完整的,允许攻击者插入恶意内容。 大多数现有的分析器不考虑非小写参数,并且大多数可以包含 XWiki 语法的宏参数没有被类似地分析,尽管它们可能包含任意的 XWiki 语法。 在最坏的情况下,这可能会允许恶意用户向页面添加恶意脚本宏,包括 Groovy 或 Python 宏,这些宏在具有编程权限的用户编辑页面后被执行,从而允许远程代码执行。 修复措施 必需的权限分析器已被加强并扩展以覆盖这些情况,在 XWiki 16.4.7、16.10.3 和 17.0.0 中。 绕过方法 目前没有已知的绕过方法,除了在编辑不受信任用户创建的内容时要小心。 CVE ID CVE-2025-49582 弱点 没有 CWEs 参考链接 https://jira.xwiki.org/browse/XWIKI-22763 https://jira.xwiki.org/browse/XWIKI-22759 https://jira.xwiki.org/browse/XWIKI-22758 https://jira.xwiki.org/browse/XWIKI-22799