CVE-2024-31983 — 神龙十问 AI 深度分析摘要

🚨 **本质**：权限绕过导致翻译内容可被任意编辑用户篡改。 💥 **后果**：若翻译值未转义，可直接触发 **远程代码执行 (RCE)**，服务器沦陷。

🔍 **CWE-862**：缺少必要的授权。 🐛 **缺陷点**：多语言 Wiki 中，**编辑权限** 用户可越权编辑翻译字段，突破了“创作翻译需特定权限”的限制。

🏢 **厂商**：XWiki。 📦 **产品**：XWiki Platform。 🌐 **场景**：基于 XWiki 构建的 Web 协作 Wiki 应用。

🕵️ **黑客能力**： 1. **篡改翻译**：利用低权限账号修改系统翻译文本。 2. **RCE**：若后端渲染未转义，可注入恶意代码，**完全控制服务器**。

📉 **门槛低**。 🔑 **认证**：需要 **编辑权限** (PR:L)。 🖱️ **交互**：无需用户交互 (UI:N)。 🌐 **网络**：远程利用 (AV:N)。

🚫 **无现成 Exp**。 📝 **状态**：数据中 `pocs` 为空，暂无公开 PoC 或确认的在野利用报告。

🔎 **自查方法**： 1. 检查 XWiki 版本是否受影响。 2. 审计 **翻译管理模块** 的权限配置。 3. 监控是否有非授权用户修改了翻译内容。

🛡️ **已修复**。 📅 **时间**：2024-04-10 发布。 🔗 **补丁**：参考 GitHub Advisory 及 Jira 链接，官方已提交修复 Commit。

🛑 **临时规避**： 1. **收紧权限**：限制能编辑翻译内容的用户组。 2. **输入校验**：确保翻译值在渲染时进行严格 **转义**，防止代码注入。

🔥 **优先级：高**。 ⚖️ **CVSS 9.8**：高危。 💡 **建议**：立即升级至修复版本，RCE 风险不可控，切勿拖延。