关键漏洞信息 漏洞标题 No warning when granting XWiki.Notifications.Code.NotificationEmailRendererClass admin right 严重性 等级: Moderate (5.1/10) 影响版本 : - - - 修复版本 描述与影响 当没有脚本权限的用户创建包含 对象的文档,随后管理员编辑并保存该文档时,此对象中的电子邮件模板将用于通知。 尽管无法执行恶意代码,但由于这些模板允许使用 Velocity 代码,现有的通用分析器会在编辑 Velocity 代码之前警告管理员。 主要影响是可能发送垃圾邮件,例如向其他用户发送钓鱼链接或隐藏关于其他攻击的通知。 修复措施 在 XWiki 16.10.2、16.4.7 和 15.10.16 中通过添加对相应 XClass 属性的分析进行了修复。 解决方案 除了在编辑由不受信任用户先前编辑的文档时小心谨慎外,目前没有其他实际的解决方法。 参考资料 https://jira.xwiki.org/browse/XWIKI-22471 3d96br3