关键信息 漏洞标题 Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in a dependency of org.xwiki.rendering:xwiki-rendering-syntax-xhtml 严重性 Critical CVSS v3 base metrics: 9.1 / 10 影响范围 受影响版本: >= 5.4.5, < 14.10 修复版本: 14.10 描述与影响 描述: XHTML语法依赖于 语法,允许创建原始块,插入任意HTML内容,包括JavaScript。这使得能够对可以编辑文档的用户(如用户配置文件)进行XSS攻击。 攻击方式: 通过将文档的语法设置为 并插入类似 的内容。 修复措施 修复方法: 移除了XHTML语法对 语法的依赖。 包含在XWiki 14.10中。 绕过方法 无已知绕过方法,除升级外。 参考资料 https://lira.xwiki.org/browse/XRENDERING-660 a4ca31f 更多信息 如有疑问或评论,请在Jira XWiki.org上打开问题 或发送邮件至Security Mailing List