CVE-2025-66472: CWE-79: XWiki平台网页生成过程中输入中和不当(跨站脚本)漏洞
严重性: 中 类型: 漏洞
CVE: CVE-2025-66472
XWiki平台是一个通用的Wiki平台,为构建在其上的应用程序提供运行时服务。XWiki平台Flamingo皮肤资源和XWiki平台Web模板组件的6.2-milestone-1至16.10.9版本,以及17.0.0-rc-1至17.4.1版本,存在一个通过删除确认消息触发的反射型XSS攻击漏洞。当受害者点击“否”按钮时,攻击者提供的脚本会被执行。此问题已在XWiki平台Flamingo皮肤资源和XWiki平台Web模板组件的16.10.10和17.4.2版本中修复。
技术摘要
CVE-2025-66472是一个反射型跨站脚本漏洞,归类于CWE-79和CWE-80,影响XWiki平台的Flamingo皮肤资源和Web模板组件。该漏洞存在于从6.2-milestone-1开始但不包括16.10.10的版本,以及从17.0.0-rc-1开始但不包括17.4.2的版本。该缺陷源于对显示给用户的删除确认消息中嵌入的攻击者可控输入进行了不当的中和。具体来说,当用户被提示确认删除时,如果输入是恶意构造的,点击“否”按钮会触发注入脚本的执行。此反射型XSS不需要预先的身份验证,但需要受害者通过点击“否”按钮进行交互,这使得社交工程或网络钓鱼成为可能的攻击向量。
成功利用可能允许攻击者在受害者浏览器会话的上下文中执行任意JavaScript,可能导致会话劫持、敏感信息窃取或在Wiki环境内执行未经授权的操作。该漏洞的CVSS 4.0基础评分为6.5,反映了中等严重性,具有网络攻击向量、攻击复杂度低、无需特权但需要用户交互的特点。由于在广泛使用的协作平台中存在脚本注入的潜在风险,其范围和影响程度较高。该问题于2025年12月10日公开披露,并在受影响组件的16.10.10和17.4.2版本中修复。目前尚未有已知的在野利用报告,但修复补丁的存在表明了及时打补丁的重要性。
潜在影响
对于欧洲组织而言,此漏洞的影响可能很显著,特别是对于那些依赖XWiki作为协作或知识管理平台的组织。成功利用可能导致会话劫持,使攻击者能够冒充合法用户并访问敏感的公司信息。它还可能通过向受信任的内部网页注入恶意脚本,促进恶意软件或网络钓鱼活动在组织内的传播。这可能破坏用户信任,并导致数据泄露或违反诸如GDPR等法规。用户交互的要求意味着攻击面在一定程度上受限,但仍可通过社交工程进行利用。拥有庞大用户群的组织或那些对保密性要求高的行业组织风险尤其高。此外,由于XWiki通常用于多租户或云环境,该漏洞可能被利用来在托管平台内进行攻击跳转或权限提升。
缓解建议
欧洲组织应立即将受影响的XWiki平台组件升级到16.10.10或17.4.2及更高版本,这些版本已修复该漏洞。同时,应实施严格的内容安全策略(CSP)标头,以限制未经授权脚本的执行,并降低潜在XSS攻击的影响。开展用户意识培训,重点识别网络钓鱼和社交工程企图,因为漏洞利用需要用户交互。审查并清理自定义XWiki扩展或模板中的所有用户输入和输出,以防止类似的注入缺陷。部署具有针对反射型XSS模式规则的Web应用防火墙(WAF),以提供额外的防御层。定期审计和监控与删除确认工作流相关的可疑活动日志。最后,考虑将关键的XWiki实例隔离在VPN或内部网络之后,以限制外部攻击者的暴露。
受影响国家
德国、法国、英国、荷兰、意大利、西班牙、比利时、瑞典
来源: CVE数据库 V5 发布日期: 2025年12月10日 星期三
CVE-2025-66472: CWE-79: XWiki平台网页生成过程中输入中和不当(跨站脚本)漏洞
▲0 ▼ 星 中等 漏洞 CVE-2025-66472 cve cve-2025-66472 cwe-79 cwe-80
发布日期: 2025年12月10日 星期三 (12/10/2025, 21:34:47 UTC) 来源: CVE数据库 V5 供应商/项目: xwiki 产品: xwiki-platform
描述 XWiki平台是一个通用的Wiki平台,为构建在其上的应用程序提供运行时服务。XWiki平台Flamingo皮肤资源和XWiki平台Web模板组件的6.2-milestone-1至16.10.9版本,以及17.0.0-rc-1至17.4.1版本,存在一个通过删除确认消息触发的反射型XSS攻击漏洞。当受害者点击“否”按钮时,攻击者提供的脚本会被执行。此问题已在XWiki平台Flamingo皮肤资源和XWiki平台Web模板组件的16.10.10和17.4.2版本中修复。
AI驱动分析
AI最后更新: 2025年12月10日,22:10:38 UTC
技术分析 CVE-2025-66472是一个反射型跨站脚本(XSS)漏洞,归类于CWE-79和CWE-80,影响XWiki平台的Flamingo皮肤资源和Web模板组件。该漏洞存在于从6.2-milestone-1开始但不包括16.10.10的版本,以及从17.0.0-rc-1开始但不包括17.4.2的版本。该缺陷源于对显示给用户的删除确认消息中嵌入的攻击者可控输入进行了不当的中和。具体来说,当用户被提示确认删除时,如果输入是恶意构造的,点击“否”按钮会触发注入脚本的执行。此反射型XSS不需要预先的身份验证,但需要受害者通过点击“否”按钮进行交互,这使得社交工程或网络钓鱼成为可能的攻击向量。成功利用可能允许攻击者在受害者浏览器会话的上下文中执行任意JavaScript,可能导致会话劫持、敏感信息窃取或在Wiki环境内执行未经授权的操作。该漏洞的CVSS 4.0基础评分为6.5,反映了中等严重性,具有网络攻击向量、攻击复杂度低、无需特权但需要用户交互的特点。由于在广泛使用的协作平台中存在脚本注入的潜在风险,其范围和影响程度较高。该问题于2025年12月10日公开披露,并在受影响组件的16.10.10和17.4.2版本中修复。目前尚未有已知的在野利用报告,但修复补丁的存在表明了及时打补丁的重要性。
潜在影响 对于欧洲组织而言,此漏洞的影响可能很显著,特别是对于那些依赖XWiki作为协作或知识管理平台的组织。成功利用可能导致会话劫持,使攻击者能够冒充合法用户并访问敏感的公司信息。它还可能通过向受信任的内部网页注入恶意脚本,促进恶意软件或网络钓鱼活动在组织内的传播。这可能破坏用户信任,并导致数据泄露或违反诸如GDPR等法规。用户交互的要求意味着攻击面在一定程度上受限,但仍可通过社交工程进行利用。拥有庞大用户群的组织或那些对保密性要求高的行业组织风险尤其高。此外,由于XWiki通常用于多租户或云环境,该漏洞可能被利用来在托管平台内进行攻击跳转或权限提升。
缓解建议 欧洲组织应立即将受影响的XWiki平台组件升级到16.10.10或17.4.2及更高版本,这些版本已修复该漏洞。同时,应实施严格的内容安全策略(CSP)标头,以限制未经授权脚本的执行,并降低潜在XSS攻击的影响。开展用户意识培训,重点识别网络钓鱼和社交工程企图,因为漏洞利用需要用户交互。审查并清理自定义XWiki扩展或模板中的所有用户输入和输出,以防止类似的注入缺陷。部署具有针对反射型XSS模式规则的Web应用防火墙(WAF),以提供额外的防御层。定期审计和监控与删除确认工作流相关的可疑活动日志。最后,考虑将关键的XWiki实例隔离在VPN或内部网络之后,以限制外部攻击者的暴露。
受影响国家 德国、法国、英国、荷兰、意大利、西班牙、比利时、瑞典
技术详情
数据版本: 5.2 分配者短名称: GitHub_M 日期预留: 2025-12-02T15:43:16.586Z Cvss 版本: 4.0 状态: 已发布 威胁ID: 6939ec5a5ab76fdc5f2d8884 添加到数据库: 2025年12月10日,晚上9:55:38 最后丰富: 2025年12月10日,晚上10:10:38 最后更新: 2025年12月11日,下午12:01:29 浏览量: 22
社区评论
0 条评论 众包缓解策略,分享情报上下文,并对最有帮助的回应进行投票。登录以发表您的意见,帮助防御者保持领先。 按最新排序
想贡献缓解步骤或威胁情报上下文? 登录或创建帐户以加入社区讨论。
相关威胁
- CVE-2025-14514: Campcodes供应商管理系统中的SQL注入
- CVE-2025-64995: TeamViewer DEX中的CWE-427未受控的搜索路径元素
- CVE-2025-64994: TeamViewer DEX中的CWE-427未受控的搜索路径元素
- CVE-2025-64993: TeamViewer DEX中的CWE-20不当的输入验证
- CVE-2025-64992: TeamViewer DEX中的CWE-20不当的输入验证
操作 更新AI分析(PRO) AI分析的更新需要Pro控制台访问权限。在控制台 → 账单中升级。 请登录控制台以使用AI分析功能。