https://blog.qife122.com/tags/groovy%E6%B3%A8%E5%85%A5/ Recent content in Groovy注入 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 15:11:29 +0800 https://blog.qife122.com/p/xwiki-cve-2025-24893-%E6%9C%AA%E6%8E%88%E6%9D%83%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E8%AF%A6%E8%A7%A3/ Sun, 11 Jan 2026 15:11:29 +0800 https://blog.qife122.com/p/xwiki-cve-2025-24893-%E6%9C%AA%E6%8E%88%E6%9D%83%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E8%AF%A6%E8%A7%A3/ <h1 id="xwiki-cve-2025-24893-漏洞利用">XWiki CVE-2025-24893 漏洞利用</h1> <p>针对 XWiki 中 CVE-2025-24893 漏洞的未授权远程代码执行利用程序，通过 Groovy 脚本注入实现。</p> <h2 id="漏洞概述">漏洞概述</h2> <p>XWiki 版本早于 15.10.9 的系统中，存在一个通过 SolrSearch RSS 反馈处理器中的 Groovy 脚本注入导致的未授权远程代码执行漏洞。该漏洞的存在是因为 XWiki 未能正确清理 <code>text</code> 参数中的用户输入，使得攻击者能够跳出 RSS 上下文并注入任意的 Groovy 代码。</p>