CVE-2023-37462 — 神龙十问 AI 深度分析摘要

🚨 **本质**：XWiki Platform 文档 `SkinsCode.XWikiSkinsSheet` 存在**不当转义**缺陷。 💥 **后果**：攻击者可利用此缺陷实现**远程代码执行 (RCE)**，彻底接管系统。

🔍 **CWE**：CWE-74 (外部实体注入/注入问题)。 📍 **缺陷点**：特定文档中的**输入验证与转义逻辑缺失**，导致恶意脚本被当作代码执行。

🏢 **厂商**：XWiki (法国XWiki基金会)。 📦 **产品**：XWiki Platform。 📅 **披露时间**：2023-07-14。

🔓 **权限**：从“查看权限”提升至“编程权限”。 💾 **数据**：可执行任意 **Groovy/Python** 宏。 📂 **影响**：对Wiki内容进行**无限制的读取和写入**，完全控制应用。

🔑 **认证**：需要 **Low (L)** 权限（即需要登录或具备基本查看权限）。 🌐 **攻击向量**：网络远程 (AV:N)。 👤 **用户交互**：无需用户交互 (UI:N)。

🧪 **PoC**：有现成检测模板 (Nuclei Templates)。 🌍 **在野**：数据未明确提及大规模在野利用，但漏洞原理清晰，利用门槛低。 🔗 **参考**：ProjectDiscovery 已提供 YAML 检测模板。

🔎 **自查方法**： 1. 构造包含危险 Payload 的非存在页面名称。 2. 访问该页面，观察是否触发脚本执行。 3. 使用 Nuclei 模板 `CVE-2023-37462.yaml` 进行自动化扫描。

🛡️ **补丁**：官方已发布修复。 🔗 **修复链接**： - GitHub Advisory: GHSA-h4vp-69r8-gvjg - Commit: d9c88ddc4c0c78fa534bd33237e95dea66003d29 - Jira: XWIKI-20457

⚠️ **临时规避**： 1. **升级版本**至修复后的最新稳定版。 2. 若无法升级，限制 `SkinsCode.XWikiSkinsSheet` 文档的访问权限。 3. 严格过滤用户输入的文档名称，防止构造恶意路径。

🔥 **优先级**：**极高 (Critical)**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H (高分)。 💡 **建议**：立即修复！RCE 漏洞直接导致服务器沦陷，无需等待。