CVE-2025-66474: CWE-95: XWiki xwiki-rendering 组件中对动态求值代码的指令中和不当（‘Eval 注入’）

严重性：高 类型：漏洞 CVE: CVE-2025-66474

XWiki Rendering 是一个通用的渲染系统，可将给定语法（如 wiki 语法、HTML 等）的文本输入转换为另一种语法（如 XHTML 等）。版本 16.10.9 及更早版本、17.0.0-rc-1 至 17.4.2 版本，以及 17.5.0-rc-1 至 17.5.0 版本对 {{/html}} 注入的防护不足，攻击者可利用此漏洞实现远程代码执行。任何能够编辑自己个人资料或任何其他文档的用户都可以执行任意的脚本宏，包括 Groovy 和 Python 宏，这使得攻击者能够执行远程代码，并对所有 wiki 内容拥有不受限制的读写权限。此问题已在版本 16.10.10、17.4.3 和 17.6.0-rc-1 中修复。

技术总结

CVE-2025-66474 是 XWiki 平台的 xwiki-rendering 组件中的一个严重漏洞，被归类为 CWE-95：对动态求值代码中的指令中和不当，通常称为 “Eval 注入”。XWiki Rendering 将各种语法的文本输入转换为 XHTML 或其他格式。在 16.10.10 之前、某些 17.x 候选发布版以及 17.6.0-rc-1 之前的版本中，对 {{/html}} 指令的净化不充分，攻击者可利用此缺陷注入任意的脚本宏。这些宏可以是服务器上执行的 Groovy 或 Python 脚本，从而实现远程代码执行。该漏洞要求攻击者有能力编辑自己的个人资料或 wiki 内的任何其他文档，这在许多部署中通常是一个低门槛的权限。利用此漏洞无需用户交互或超出编辑权限的特权，使其极易被利用。成功利用此漏洞将使攻击者获得对所有 wiki 内容的无限制读写访问权，可能允许数据外泄、篡改内容，或以此为跳板转向攻击其他内部系统。该漏洞的 CVSS 4.0 基本评分为 8.7（高严重性），攻击向量为网络，攻击复杂度低，除编辑权限外无需其他特权，且无需用户交互。该问题于 2025年12月10日公开披露，并在版本 16.10.10、17.4.3 和 17.6.0-rc-1 中修复。目前尚未报告有野外利用，但利用的简易性和影响使其成为受影响组织面临的严重风险。

潜在影响

对于欧洲的组织而言，此漏洞对其用于文档记录、协作和知识共享的内部 wiki 系统的机密性、完整性和可用性构成重大威胁。一旦系统被攻破，可能导致敏感的企业或政府信息被未经授权地泄露、关键文档被篡改或删除，如果 wiki 服务器连接到内部基础设施，还可能实现网络内的横向移动。依赖 XWiki 进行受监管环境或关键操作的组织面临合规性和运营风险。攻击者无需高权限或用户交互即可远程执行任意代码的能力，增加了攻击成功的可能性。wiki 服务的中断也可能影响业务连续性和员工生产力。鉴于 XWiki 在欧洲公共部门、教育和企业的广泛使用，其潜在影响是广泛而严重的。

缓解建议

1. 立即将所有受影响的 XWiki 实例升级到已修复版本：16.10.10、17.4.3 或 17.6.0-rc-1 及更高版本。
2. 严格限制编辑权限，仅授予可信用户；审计并最小化可以编辑个人资料或文档的人员，以减少攻击面。
3. 实施具有自定义规则的 Web 应用程序防火墙（WAF），以检测和阻止可疑的宏注入模式，特别是涉及 {{/html}} 指令或脚本宏的模式。
4. 监控 wiki 日志中异常的宏执行或编辑行为，重点关注 Groovy 和 Python 宏的使用情况。
5. 进行内部安全审查和渗透测试，以验证是否不存在残留的注入向量。
6. 教育管理员和用户有关宏注入的风险以及安全的编辑实践。
7. 尽可能将 wiki 服务器与关键的内部网络隔离，以限制在系统被攻破时的横向移动。
8. 定期备份 wiki 内容并验证恢复程序，以减轻潜在攻击造成的数据丢失。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、比利时、瑞典