XWiki Platform 是一个通用的维基平台,为在其之上构建的应用程序提供运行时服务。XWiki 支持包含 Groovy 脚本的定时作业。目前,该作业检查作业的内容作者对编程权限是否具有。然而,修改或添加作业脚本到文档不会修改内容作者。结合作业调度器中的 CSRF 漏洞,攻击者可以利用此漏洞通过在维基上具有编辑权限来远程执行代码。如果攻击成功,将产生一个带有“Job content executed”错误日志条目。该漏洞已在 XWiki 14.10.9 和 15.4RC1 中修补。
"将组件 org.xwiki.platform:xwiki-platform-scheduler-api 升级至 15.4-rc-1 及以上版本"
"将组件 org.xwiki.platform:xwiki-platform-scheduler-api 升级至 14.10.9 及以上版本"