7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于XWiki远程代码执⾏漏洞(CVE-2024-31982)的风险提示

日期:2024-06-21文章来源:图书信息中心

一、背景介绍

近日,市委网信办技术支撑单位监测到XWiki官方发布新版本修复了一个远程代码执⾏漏洞(CVE-2024-31982)。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议尽快做好自查及防护。

1.1漏洞描述

XWiki平台是⼀个通⽤的wiki平台。从版本2.4-milestone-1开始,在版本4.10.20、15.5.4和15.10-rc-1之前,XWiki的数据库搜索允许通过搜索⽂本远程执⾏代码。这允许公共wiki的任何访问者或封闭wiki的⽤⼾远程执⾏代码,因为默认情况下所有⽤⼾都可以访问数据库搜索。这会影响整个XWiki安装的机密性、完整性和可⽤性。

1.2漏洞编号

CVE-2024-31982

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

xwiki<4.10.20

2.2修复建议:

官方已发布新版本修复漏洞,建议尽快升级到最新版本:https://www.xwiki.org