CVE-2024-31987 — 神龙十问 AI 深度分析摘要

🚨 **本质**：XWiki 允许编辑页面的用户创建自定义皮肤，利用**模板覆盖**功能触发**编程权限**。 💥 **后果**：直接导致 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-862（缺少必要的权限/授权）。 📍 **缺陷点**：权限校验逻辑缺失，普通编辑者被错误赋予了执行系统级代码的能力。

🏢 **厂商**：XWiki。 📦 **产品**：XWiki Platform（用于创建 Web 协作应用的 Wiki 平台）。

🕵️ **黑客能力**： 1. **完全控制**：在服务器上执行任意命令。 2. **数据窃取**：读取所有敏感数据。 3. **横向移动**：以服务器权限为跳板攻击内网。

🚪 **门槛**：中等。 ✅ **前提**：需要拥有**编辑任何页面**的权限。 ❌ **无需**：用户交互 (UI:N)。 🌐 **网络**：远程可利用 (AV:N)。

📜 **PoC**：数据中未提供现成 PoC。 🔥 **在野**：暂无公开在野利用报告。 🔗 **参考**：详见 GitHub Security Advisory (GHSA-cv55-v6rw-7r5v)。

🔎 **自查特征**： 1. 检查是否运行 **XWiki Platform**。 2. 审计用户权限，确认是否有非管理员拥有**页面编辑权**。 3. 扫描是否存在异常的**自定义皮肤/模板**文件。

🛡️ **修复状态**：已修复。 📅 **时间**：2024-04-10 发布。 🔗 **补丁**：请查阅官方 Jira (XWIKI-21478) 及 GitHub Commit 记录升级。

🚧 **临时规避**： 1. **最小权限原则**：严格限制“编辑页面”权限，仅授予可信管理员。 2. **网络隔离**：限制对 XWiki 管理接口的访问。 3. **监控**：监控服务器异常进程或可疑的模板文件创建行为。

⚡ **优先级**：**极高 (Critical)**。 📊 **CVSS**：9.8 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**：立即升级！RCE 漏洞一旦利用，后果灾难性，切勿拖延。