一、基本情况
XWiki是一个开源的企业级知识管理和协作平台,允许用户创建、管理和共享内容。
二、漏洞描述
XWiki-pro-macros Details Summary宏远程代码执行漏洞,影响com.xwiki.pro:xwiki-pro-macros-confluence-bridges-ui包,该漏洞源于Confluence的Details Summary宏的实现问题,宏在执行Velocity脚本时未进行适当的权限检查,导致未授权的用户能够通过构造特定页面内容,触发远程代码执行。该漏洞可导致攻击者在没有编程权限的情况下,通过构造特定页面内容进行恶意操作,从而在系统中执行未经授权的代码,进而危害系统安全。
三、影响范围
xwiki-pro-macros <= 1.27.0
四、修复建议
官方已发布修复补丁,以修复该漏洞。
xwiki-pro-macros >= 1.27.1
