关键漏洞信息 漏洞标题 Passwords and emails stored in fields not named password/email exposed in xml.vm 严重性 High CVSS v4 base metrics: 8.7 / 10 影响范围 Affected versions: - : >= 1.1, = 16.5.0-rc-1, = 17.0.0-rc-1, = 1.1, = 16.5.0-rc-1, = 17.0.0-rc-1, < 17.2.0-rc-1 Patched versions: - , , 描述与影响 Impact: - XML导出功能可能暴露存储在非 或 字段中的密码和电子邮件属性,允许用户获取盐值和哈希的用户账户验证或密码重置令牌。 - 立即影响较低,但根据Wiki的使用情况,可能存在扩展或自定义代码存储明文密码的情况。 修复措施 Patches: - 完全移除XML导出中密码和电子邮件字段的输出。 解决方案 Workarounds: - 如果不需要XML导出,可以删除部署WAR中的 文件。 参考资料 XWIKI-22810 742ee34 其他信息 CVE ID: CVE-2025-54125 Weaknesses: CWE-359