XWiki Full Calendar宏曝SQL注入漏洞,攻击者可窃取数据库信息

本文披露了XWiki Full Calendar宏中一个严重的安全漏洞(CVE-2025-65091)。该漏洞存在于Calendar.JSONService页面,允许具有查看权限的用户(包括访客)执行SQL注入攻击,可能导致数据库信息泄露或发起拒绝服务攻击。受影响版本为2.4.3及以前,建议升级至2.4.5或删除问题页面。

漏洞详情

漏洞标识符: CVE-2025-65091

严重等级: 严重 (CVSS 分数 10.0)

受影响组件: XWiki平台中的macro-fullcalendar宏。

技术描述

该漏洞是一个SQL注入漏洞,具体位于Calendar.JSONService页面。其根本原因是未能对外部输入进行适当的过滤或转义,导致攻击者可以构造特殊的SQL命令片段,从而操纵后端数据库查询。

影响范围:

  • 受影响版本: org.xwiki.contrib:macro-fullcalendar-pom 版本 <= 2.4.3
  • 已修复版本: 版本 2.4.5

安全影响

任何对Calendar.JSONService页面拥有查看权限的用户(包括未认证的访客用户)均可利用此漏洞。攻击者可能达成以下目的:

  1. 访问数据库信息:通过构造恶意请求,读取、篡改或删除数据库中的敏感数据。
  2. 发起拒绝服务攻击:执行资源密集型的数据库查询,导致服务不可用。

缓解措施与修复方案

  1. 官方修复: 强烈建议将macro-fullcalendar组件升级到已修复的版本2.4.5
  2. 临时变通方案: 如果无法立即升级,可以删除Calendar.JSONService页面。但请注意,此操作将导致依赖此服务的某些日历功能失效。

参考信息

  • Jira工单:
    • FULLCAL-80: SQL injection through Calendar.JSONService
    • FULLCAL-81: SQL injection through Calendar.JSONService still exists
  • GitHub安全公告ID: GHSA-2g22-wg49-fgv5
  • CWE分类: CWE-89 - SQL命令中使用的特殊元素未进行适当中和(SQL注入)
  • 源码仓库: xwiki-contrib/macro-fullcalendar
  • 联系途径:
    • 在 Jira XWiki.org 上提交问题。
    • 发送邮件至安全邮件列表。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次