关键漏洞信息 漏洞概述 标题: Privilege escalation (PR) from account through blog content CVE ID: CVE-2025-58365 GHSA ID: GHSA-gwj6-xpfg-pxwr 发布者: michitux 发布时间: 昨天 影响范围 包: org.xwiki.contrib.blog:application-blog-ui (Maven) 受影响版本: < 9.14 修复版本: 9.14 描述 影响: XWiki 的博客应用允许任何具有页面编辑权限的用户执行远程代码。通常,这些是已登录用户,因为他们可以编辑自己的用户配置文件。要利用此漏洞,只需在任何页面上添加一个类型为 的对象,并在该对象的“Content”字段中添加一些带有利用代码的脚本宏。 修复措施 补丁: 该漏洞已在博客应用版本 9.14 中修复,通过以适当作者的权限执行博客帖子内容。 绕过方法 绕过: 目前没有已知的绕过方法。 参考资料 https://jira.xwiki.org/browse/BLOG-191 b98ab6f 严重性 CVSS v4 基础指标 - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击要求: 无 - 所需权限: 低 - 用户交互: 无 - 脆弱系统影响指标 - 机密性: 高 - 完整性: 高 - 可用性: 高 - 后续系统影响指标 - 机密性: 无 - 完整性: 无 - 可用性: 无 弱点 CWE-95: Improper Neutralization of Directives in a Script in an Include-Type File