XWiki平台是一个通用的维基平台,为其上构建的应用程序提供运行时服务。create漏洞存在CSRF攻击漏洞,当攻击者针对具备脚本/编程权限的用户进行攻击时,可能导致脚本的远程代码执行,从而危及整个XWiki安装的机密性、完整性和可用性。当具备脚本权限的用户查看此图像且日志中出现`ERROR foo - Script executed!`日志信息时,XWiki安装就存在漏洞。XWiki 14.10.9和15.4RC1版本通过要求实际页面创建时的CSRF令牌来修复了此漏洞。
"将组件 org.xwiki.platform:xwiki-platform-oldcore 升级至 15.4-rc-1 及以上版本"
"将组件 org.xwiki.platform:xwiki-platform-oldcore 升级至 14.10.9 及以上版本"