XWiki Platform是一个通用的维基平台。从2.3版本开始，在14.10.15、15.5.2和15.7-rc-1版本之前，显示可配置的管理员部分的代码中存在反射型XSS或直接远程代码执行漏洞。只有在访问精心构造的URL的用户具有至少一个配置部分的编辑权限时，才会执行通过URL参数传递的代码。虽然维基的任何用户都可以轻松创建这样的部分，但这个漏洞不要求攻击者在维基上拥有账户或任何访问权限。只需诱使XWiki安装的任何管理员用户访问构造的URL即可。该漏洞允许具备编程权限的完全远程代码执行，从而影响整个XWiki安装的机密性、完整性和可用性。此问题已在XWiki 14.10.15、15.5.2和15.7RC1中修复。修复程序可手动应用于文档“XWiki.ConfigurableClass”。