CVE-2024-31997 — 神龙十问 AI 深度分析摘要

🚨 **本质**：XWiki Platform 的 UI 扩展参数被当作 Velocity 代码执行。 💥 **后果**：攻击者可利用此机制执行**任意代码**，完全接管系统。

🛡️ **CWE**：CWE-862（缺少授权）。 🔍 **缺陷点**：UI 扩展参数未做严格校验，直接以**编程权限**解析执行 Velocity 脚本。

📦 **厂商**：XWiki。 🧩 **组件**：XWiki Platform（用于创建 Web 协作应用的 Wiki 平台）。

👮 **权限**：拥有**编程权限**，可执行系统命令。 📂 **数据**：可读取、修改、删除服务器上的**任意文件**及数据库内容。

🚪 **门槛**：中等。 🔑 **认证**：需要**低权限**（PR:L）即可利用。 🖱️ **交互**：无需用户交互（UI:N），远程网络攻击（AV:N）。

🧪 **PoC**：数据中未提供现成 Exp 链接。 🌍 **在野**：暂无公开在野利用报告（基于提供数据）。

🔍 **自查**：检查 XWiki 版本是否受影响。 📡 **扫描**：监测针对 UI 扩展参数的异常 Velocity 注入请求。

🔧 **补丁**：官方已发布修复。 🔗 **参考**：见 GitHub 提交记录及安全公告 GHSA-c2gg-4gq4-jv5j。

🛡️ **临时规避**：限制 UI 扩展功能的访问权限。 🚫 **配置**：禁用不必要的 Velocity 宏或扩展，减少攻击面。

⚡ **优先级**：**极高**。 📈 **CVSS**：9.8（Critical）。 🚀 **建议**：立即升级至修复版本，防止远程代码执行。