CVE-2025-65091: CWE-89 - xwiki-contrib macro-fullcalendar 中SQL命令特殊元素中和不当导致的SQL注入漏洞

严重等级：严重 类型：漏洞

CVE编号： CVE-2025-65091

描述 XWiki Full Calendar Macro 用于在日历界面显示wiki中的对象。在2.4.5之前的版本中，有权查看Calendar.JSONService页面的用户（包括访客用户）可以利用SQL注入漏洞来访问数据库信息或发起DoS攻击。此问题已在2.4.5版本中修复。

AI分析技术摘要

技术总结 CVE-2025-65091是在xwiki-contrib macro-fullcalendar插件中发现的一个严重SQL注入漏洞，该插件用于在日历界面上显示wiki对象。该漏洞存在于2.4.5之前的版本中，源于SQL命令中特殊元素的中和不当（CWE-89）。具体而言，任何有权查看Calendar.JSONService页面的用户（包括未经身份验证的访客用户）都可以注入恶意的SQL查询。此漏洞允许攻击者访问敏感的数据库信息、操纵数据完整性，或通过精心构造的查询使数据库过载从而导致拒绝服务。该漏洞可以远程利用，无需身份验证或用户交互，这大大增加了其风险状况。供应商已在2.4.5版本中解决了此问题，但运行旧版本的系统仍然容易受到攻击。尽管尚未在野外观察到公开的漏洞利用，但其CVSS v3.1评分为10.0（满分），反映了最高严重性，表明该漏洞对机密性、完整性和可用性构成严重威胁，且攻击面广、易于利用。

潜在影响 对于欧洲的组织而言，利用此漏洞可能导致严重的数据泄露，暴露存储在XWiki数据库中的敏感企业或个人数据。数据的完整性可能受到损害，攻击者可以更改或删除关键信息，从而可能破坏业务运营。此外，攻击者可以对数据库后端发起拒绝服务攻击，导致服务中断并影响基于wiki的协作工具的可用性。依赖XWiki进行文档管理或协作的政府部门、金融、医疗保健和关键基础设施等领域的组织风险尤其高。访客用户可以利用此漏洞的事实意味着外部攻击者无需有效凭据，从而增加了攻击的可能性。该漏洞还可能被用作在受影响环境中进一步危害网络或横向移动的立足点。

缓解建议 将macro-fullcalendar插件立即升级到2.4.5或更高版本是最主要且最有效的缓解措施。组织应审核其XWiki安装实例，以识别任何运行易受攻击版本的实例。通过应用更严格的访问控制或网络分段来限制对不受信任用户的暴露，从而限制对Calendar.JSONService页面的访问。实施配备SQL注入检测规则的Web应用程序防火墙（WAF）以提供额外的防御层。定期监控日志，查找针对日历服务端点的异常或可疑SQL查询。进行针对XWiki组件的安全评估和渗透测试，以检测任何残留的漏洞。对管理员和开发人员进行安全编码实践教育，以防止在自定义宏或插件中出现类似的注入缺陷。

受影响国家 德国、法国、英国、荷兰、瑞典、芬兰、比利时、意大利

来源： CVE数据库 V5 发布日期： 2026年1月10日 星期六