一、背景介绍

近日,市委网信办技术支撑单位监测到XWiki官方发布新版本修复了一个远程代码执⾏漏洞(CVE-2024-31982)。目前该漏洞PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议尽快做好自查及防护。

1.1漏洞描述

XWiki平台是⼀个通⽤的wiki平台。从版本2.4-milestone-1开始，在版本4.10.20、15.5.4和15.10-rc-1之前，XWiki的数据库搜索允许通过搜索⽂本远程执⾏代码。这允许公共wiki的任何访问者或封闭wiki的⽤⼾远程执⾏代码，因为默认情况下所有⽤⼾都可以访问数据库搜索。这会影响整个XWiki安装的机密性、完整性和可⽤性。

1.2漏洞编号

CVE-2024-31982

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

xwiki<4.10.20

2.2修复建议：

官方已发布新版本修复漏洞，建议尽快升级到最新版本：https://www.xwiki.org