关键漏洞信息 漏洞标题 No required right warnings for notification displayer objects 严重性 Moderate CVSS v4 base metrics: 6.4 / 10 影响范围 Package: (Maven) Affected versions: - >= 15.9-rc-1, = 16.0.0-rc-1, = 16.5.0-rc-1, < 16.10.2 Patched versions: - 15.10.16 - 16.4.7 - 16.10.2 描述与影响 当没有脚本权限的用户创建包含 对象的文档,随后管理员编辑并保存该文档时,对象中的潜在恶意内容将以原始 HTML 输出,导致 XSS 攻击。 在通知显示器执行 Velocity 代码时,现有的通用分析器会在编辑 Velocity 代码之前警告管理员。 补丁 此漏洞已在 XWiki 15.10.16、16.4.7 和 16.10.2 中修复,通过添加必要的权限分析器来警告管理员关于可能的恶意代码。 解决方案 尚未发现任何实际的变通方法,除了在编辑由不受信任用户先前编辑的文档时要小心。 参考链接 https://jira.xwiki.org/browse/XWIKI-22470 55c5d56 CVE ID CVE-2025-49587