CVE-2024-31465 — 神龙十问 AI 深度分析摘要

🚨 **本质**：XWiki 存在 **CWE-95** 代码注入漏洞。 💥 **后果**：攻击者可执行 **服务器任意代码 (RCE)**，完全控制目标系统。

🔍 **缺陷点**：`XWiki.SearchSuggestSourceClass` 处理不当。 🧬 **CWE**：**CWE-95** ( improper neutralization of special elements in code)。

🏢 **厂商**：XWiki。 📦 **组件**：XWiki Platform。 👥 **范围**：拥有 **编辑权限** 的任何用户均可触发。

🕵️ **黑客能力**： 1. 通过修改 **用户配置文件** 或任意页面添加类型对象。 2. 实现 **服务器端任意代码执行**。 3. 获取 **高权限** (CVSS H)。

🔑 **门槛**：中等。 ✅ **无需认证绕过**，但需 **低权限 (PR:L)**。 ⚠️ 只要用户有 **页面编辑权** 即可利用。

📜 **PoC**：数据中 **pocs** 字段为空，暂无公开现成 Exp。 🌍 **在野**：暂无明确在野利用报告。

🔎 **自查特征**： 1. 检查是否运行 **XWiki Platform**。 2. 审计拥有 **编辑权限** 的用户列表。 3. 扫描页面中是否包含恶意的 **类型对象 (type object)** 注入。

🛡️ **官方修复**：已修复。 🔗 **参考**：GitHub Advisory GHSA-34fj-r5gq-7395 及后续 Commit。 📅 **披露**：2024-04-10。

⚠️ **临时规避**： 1. **最小化权限**：严格限制用户的 **页面编辑权限**。 2. **输入过滤**：禁止在用户配置文件中添加自定义 **类型对象**。 3. **监控**：监控异常的用户资料修改行为。

🔥 **优先级**：**高 (Critical)**。 📉 **CVSS**：**9.8** (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**：立即升级至修复版本，防止 **RCE** 发生。