平台
java
组件
xwiki-platform
修复版本
17.0.1
17.5.1
17.0.1
17.5.1
17.0.1
17.5.1
CVE-2026-33229 是 XWiki Platform 中的一个远程代码执行漏洞,该平台是一个通用的wiki平台。由于脚本API保护不当,任何具有脚本权限的用户都可以绕过Velocity脚本API的沙箱,从而执行任意Python脚本,进而完全访问XWiki实例,危及实例的机密性、完整性和可用性。该漏洞影响XWiki Platform 17.0.0-rc-1–>= 17.5.0-rc-1 和 < 17.10.1 版本。该漏洞已在17.4.8版本中修复。
漏洞利用状态
EPSS
0.15% (36% 百分位)
Actualice XWiki Platform a la versión 17.4.8 o superior, o a la versión 17.10.1 o superior. Esta actualización corrige una vulnerabilidad de ejecución remota de código al proteger adecuadamente la API de scripting Velocity, evitando que los usuarios con permisos de script ejecuten código arbitrario.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33229 是 XWiki Platform 中的一个远程代码执行漏洞,允许攻击者在未经授权的情况下执行代码,从而控制整个XWiki实例。
如果您的 XWiki Platform 版本在 17.0.0-rc-1–>= 17.5.0-rc-1 和 < 17.10.1 之间,则您的系统可能受到此漏洞的影响。
请立即升级到 XWiki Platform 17.4.8 或更高版本以修复此漏洞。
上传你的 pom.xml 文件,立即知道是否受影响。