关键信息 漏洞概述 CVE编号: CVE-2025-51990 漏洞类型: 存储型跨站脚本(XSS) 影响产品 产品: XWiki 版本: <= 17.3.0 组件: - 全局偏好面板 -- 展示部分 - 字段: HTTP Meta Info, Footer Copyright, Footer Version 描述 XWiki允许管理员配置UI元素,如元数据和页脚内容。然而,用户提供的输入在以下字段中存储时未进行输出编码或清理: HTTP Meta Info Footer Copyright Footer Version 这允许持久的JavaScript注入,将在任何访问受影响页面的用户的浏览器上下文中渲染和执行。 攻击向量 攻击者通过具有管理权限的账户导航到: 攻击者将恶意JavaScript注入上述任意字段。 概念验证(PoC) Payload 1 - HTTP Meta Info Payload 2 - Footer Copyright Payload 3 - Footer Version 保存后,这些字段将在所有页面上呈现。当用户访问实例中的任何页面时,有效载荷会在其浏览器中自动执行。 影响 持久客户端脚本执行 会话劫持 内容欺骗 钓鱼 在共享/互联网面向部署中的声誉损害 CVSS v3.1 分数 基础分数: 6.4 (中等) 向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:A/N