一、漏洞详情
XWiki是一个开源的企业级知识管理和协作平台,允许用户创建、管理和共享内容。
近日,监测到XWiki-pro-macros Details Summary宏远程代码执行漏洞,影响com.xwiki.pro:xwiki-pro-macros-confluence-bridges-ui包,该漏洞源于Confluence的Details Summary宏的实现问题,宏在执行Velocity脚本时未进行适当的权限检查,导致未授权的用户能够通过构造特定页面内容,触发远程代码执行。该漏洞可导致攻击者在没有编程权限的情况下,通过构造特定页面内容进行恶意操作,从而在系统中执行未经授权的代码,进而危害系统安全。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
xwiki-pro-macros <= 1.27.0
三、修复建议
官方已发布修复补丁,以修复该漏洞。
xwiki-pro-macros >= 1.27.1
