XWiki Platform是一款通用的维基平台,为基于其之上构建的应用程序提供运行时服务。XWiki在用于显示管理部分代码中未正确转义部分URL参数。这使得所有具有对文档`XWiki.AdminSheet`的读取权限的用户(包括未经身份验证的用户)都能够执行包括Groovy代码在内的代码。这影响了整个XWiki实例的机密性、完整性和可用性。此漏洞已在XWiki 14.10.14、15.6 RC1和15.5.1中修复。建议用户升级。无法升级的用户可以手动应用修补程序中的`fec8e0e53f9`提交。或者,为了防止来自未经身份验证的用户的攻击,可以从此文档中删除来宾的查看权限(它仅对空间和维基管理员需要)。
建议您更新当前系统或软件至最新版,完成漏洞的修复。