关键漏洞信息 漏洞标题 Remote code execution through default value of wiki macro wiki-type parameters 漏洞类型与优先级 Type: Bug Priority: Blocker 影响版本与修复版本 Affects Version/s: 12.8-rc1, 12.6.3, 11.10.11 Fix Version/s: 16.10.3, 17.0.0 组件与标签 Component/s: Rendering - WikiMacro Labels: attack_escalation, attacker_edit, security 复现步骤 1. 以没有脚本或编程权限的用户身份在对象编辑器中编辑新页面。 2. 添加一个类型为XWiki.WikiMacroClass的对象,设置以下值: - 宏ID:children - 支持内联模式:是 - 宏可见性:当前用户 - 宏内容可用性:无内容 - 宏代码: 3. 添加一个类型为XWiki.WikiMacroParameterClass的对象,设置以下值: - 参数名称:content - 参数是否必填:否 - 参数默认值: - 参数类型:Wiki 4. 保存页面。 5. 打开XWiki.ChildrenMacro页面。 预期结果 未提供具体预期结果,但根据描述,此操作应导致远程代码执行。