一、背景介绍
近日,市委网信办技术支撑单位监测到XWiki官方发布新版本修复了一个远程代码执⾏漏洞(CVE-2024-31982)。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议尽快做好自查及防护。
1.1漏洞描述
XWiki平台是⼀个通⽤的wiki平台。从版本2.4-milestone-1开始,在版本4.10.20、15.5.4 和15.10-rc-1之前,XWiki的数据库搜索允许通过搜索⽂本远程执⾏代码。这允许公共wiki的任何访问者或封闭wiki的⽤⼾远程执⾏代码,因为默认情况下所有⽤⼾都可以访问数据库搜索。这会影响整个XWiki安装的机密性、完整性和可⽤性。
1.2漏洞编号
CVE-2024-31982
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
xwiki<4.10.20
2.2修复建议:
官方已发布新版本修复漏洞,建议尽快升级到最新版本:
https://www.xwiki.org