漏洞关键信息 漏洞概述: 名称: Click-jacking through CSS injection in comments CVE ID: CVE-2026-26000 GitHub Security Advisory: GHSA-74rh-c5rh-88vg 发布者: surl 发布日期: last week 受影响的软件和版本: Package: org.xwiki.platform:xwiki-platform-web (Maven) 受影响版本: < 17.9.0 修复版本: 17.9.0, 17.4.6, 16.10.13 影响: 描述: 利用评论注入CSS可以将整个wiki页面变成链接区域,导向恶意页面。所有版本的XWiki受到这种攻击的影响。 补丁: 修复措施: 要求用户在点击指向不受信任域的链接时进行确认,防止点击劫持攻击。该安全措施已在XWiki 17.9.0、17.4.6、16.10.13中实施。 绕过方式: 描述: 没有现成的避难所方式,但可以部分重用安全措施提供的javascript代码,通过在wiki内部创建JSX对象来请求类似的确权。 参考资料: JIRA Ticket: https://jira.xwiki.org/browse/XWIKI-23433 新安全措施文档: https://www.xwiki.org/xwiki/bin/view/ReleaseNotes/Data/XWiki/17.9.0RC1/Entry006/ 安全修复提交: 29cb81f 更多信息: 问题反馈: 在jira.xwiki.org上开设问题或者经过安全邮箱列表 致谢: 发现者: Tomas Keech (来自Sentrium Security Ltd) 漏洞评分: CVSS v4 base metrics: 5.3/10 (中度)