关键信息 漏洞标题: Privilege escalation (PR) from account/view through AdminFieldsDisplaySheet and admin.vm 严重性: Critical 受影响的版本: >= 1.5M2 修复版本: 15.0-rc-1, 14.10.1, 14.4.8, 13.10.11 CVSS v3.1 基础度量值: 9.9 / 10 CVE ID: CVE-2023-29511 弱点: CWE-95 影响 任何拥有页面编辑权限的用户(例如,自己的用户页面),可以执行任意的Groovy、Python或Velocity代码,导致对XWiki安装的完全访问。根本原因是 中部分ID的不当转义。 解决方案 漏洞已经在XWiki 15.0-rc-1, 14.10.1, 14.4.8, 和 13.10.11 中修复。 解决方法 可以通过应用此补丁到 来解决该问题。 参考 https://jira.xwiki.org/browse/XWIKI-20261 f1e3108 更多信息 如果有任何疑问或关于此建议的意见: 在jira XWiki.org打开问题 发邮件至安全邮件列表