XWiki Admin Tools Application提供了帮助XWiki管理员进行管理的工具。在4.5.1版本之前，XWiki工具上的查询存在跨站请求伪造漏洞，允许在XWiki安装的数据库上执行任意数据库查询。其中包括修改和删除wiki的所有数据。攻击者可以利用此漏洞损坏wiki并创建具有提升特权的帐户，从而影响整个XWiki实例的机密性、完整性和可用性。可能的攻击向量是在wiki上的评论中，通过嵌入使用wiki语法的图像，例如`[[image:path:/xwiki/bin/view/Admin/QueryOnXWiki?query=DELETE%20FROM%20xwikidoc]]`，当管理员用户查看此评论时，所有文档都将从数据库中删除。此问题已在Admin Tools Application 4.5.1中修补，通过添加表单令牌检查。也可以使用一些解决方案来解决此问题。修补程序还可以手动应用于受影响的页面。或者，如果不需要查询工具，可以通过删除文档`Admin.SQLToolsGroovy`来禁用所有数据库查询工具。