发布日期：2024-12-12
更新日期：2025-03-04

受影响系统：

XWiki Platform >= 6.3-milestone-2
XWiki Platform < 14.3-rc-1
XWiki Platform < 13.10.5

描述：

---

CVE(CAN) ID: CVE-2024-55663

XWiki Platform是XWiki开源的一套用于创建Web协作应用程序的Wiki平台。
XWiki Platform 6.3-milestone-2版本到13.10.5和14.3-rc-1版本存在输出编码或转移错误漏洞，该漏洞源于getdocument.vm中返回文档的顺序是从未清理的请求参数request.sort定义的，攻击者可利用该漏洞注入SQL，从而从数据库中获取密码哈希值等机密信息以及执行UPDATE/INSERT/DELETE查询。

<*链接：https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-wh34-m772-5398
*>

建议：

---

厂商补丁：

XWiki
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/xwiki/xwiki-platform/commit/673076e2e8b88a36cdeaf7007843aa9ca1a068a0

浏览次数：138
严重程度：0（网友投票）