XWiki配置文件信息泄露漏洞(XWIKI-23109)

关键漏洞信息 漏洞编号: XWIKI-23109 标题: Configuration files can be accessed through jsx and sx endpoints 状态: Closed 类型: Bug 优先级: Blocker 影响版本: 4.2-milestone-2 组件: Old Core 标签: attack_dataleak, attacker_guest, security 环境: tomcat 测试类型: Integration 难度: Unknown 文档链接: https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-m63c-3rmg-r2cf 描述 问题描述: 可以通过特定的URL访问和读取配置文件，例如 。 影响范围: 在任何tomcat上都可以复现，且在XWiki的Docker镜像中也容易复现。这可能允许攻击者访问敏感数据，如数据库的所有凭据。 漏洞代码位置: https://github.com/xwiki/xwiki-platform/blob/f34d6bb28caf7f862eb5d98ea844b734924a8865/xwiki-platform-core/xwiki-platform-skin/xwiki-platform-skin-skinx/src/main/java/com/xpn/xwiki/web/sx/SxResourceSource.java#L59-L63 相关问题 依赖于: XCOMMONS-3327 (已关闭) 由以下问题引起: XWIKI-8140 (已关闭) 解决方案 修复版本: 16.10.7, 17.4.0-rc-1

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

XWiki配置文件信息泄露漏洞(XWIKI-23109)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！