MEDIUMCVE-2026-40104

XWiki 的 REST API 可以列出所有页面/空间，导致不可用

Q: CVE-2026-40104 是什么 — XWiki Platform 中的漏洞？

16.10.16、17.4.8 和 17.10.1 之前的版本容易受到此漏洞的攻击。

Q: XWiki Platform 中的 CVE-2026-40104 是否会影响我？

您可以通过访问管理界面中的平台信息页面来验证 XWiki 版本。

Q: 如何修复 XWiki Platform 中的 CVE-2026-40104？

如果无法立即升级，请监控服务器资源使用情况，并限制对受影响端点的访问。

Q: CVE-2026-40104 是否正在被积极利用？

目前没有专门的工具可以检测此漏洞，但建议定期进行安全审计。

Q: 在哪里可以找到 XWiki Platform 关于 CVE-2026-40104 的官方安全通告？

此漏洞可能导致拒绝服务 (DoS)，方法是耗尽服务器资源。

平台

java

组件

org.xwiki.platform:xwiki-platform-oldcore

修复版本

1.8.1

17.0.1

17.5.1

1.8.1

17.0.1

17.5.1

16.10.16

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-40104 is a resource exhaustion vulnerability identified in the XWiki Platform. The vulnerability stems from a lack of query limits in certain REST API endpoints, specifically those listing pages for database properties. This can lead to excessive resource consumption on large XWiki installations, potentially causing denial of service. Affected versions include 1.8.0 through 17.5.0-rc-1, excluding 17.10.1. Updating to version 16.10.16, 17.4.8, or 17.1 resolves the issue.

影响与攻击场景

CVE-2026-40104 影响 XWiki Platform 的 16.10.16、17.4.8 和 17.10.1 之前的版本。该漏洞存在于 REST API 端点中，这些端点将可用页面作为数据库列表属性的元数据列出。在大型 Wiki 上，这可能导致资源耗尽。具体来说，查询 /xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties 可能会消耗过多的内存和处理时间，从而对平台整体性能产生负面影响。

利用背景

攻击者可以通过向 REST API 端点发送恶意请求来利用此漏洞。他们可以利用页面列表来耗尽服务器资源，从而可能导致拒绝服务 (DoS) 条件。利用的可能性取决于 Wiki 的大小和 API 配置。拥有大量页面的 Wiki 更容易受到此类攻击。

哪些人处于风险中翻译中…

Organizations heavily reliant on XWiki Platform for knowledge management and collaboration are at risk, particularly those with large wikis and high user traffic. Shared hosting environments where multiple wikis reside on the same server are also at increased risk, as a successful attack on one wiki could impact others.

攻击时间线

2026-04-15Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

受影响的软件

组件org.xwiki.platform:xwiki-platform-oldcore

供应商xwiki

影响范围修复版本

>= 1.8-rc-1, < 16.10.16 – >= 1.8-rc-1, < 16.10.161.8.1

>= 17.0.0-rc-1, < 17.4.8 – >= 17.0.0-rc-1, < 17.4.817.0.1

>= 17.5.0-rc-1, < 17.10.1 – >= 17.5.0-rc-1, < 17.10.117.5.1

>= 1.8-rc-1, < 16.10.16 – >= 1.8-rc-1, < 16.10.161.8.1

>= 17.0.0-rc-1, < 17.4.8 – >= 17.0.0-rc-1, < 17.4.817.0.1

>= 17.5.0-rc-1, < 17.10.1 – >= 17.5.0-rc-1, < 17.10.117.5.1

1.8-rc-116.10.16

弱点分类 (CWE)

CWE-770

时间线

已保留2026-04-09
发布日期2026-04-15
修改日期2026-04-16
EPSS 更新日期2026-04-22

缓解措施和替代方案

为了减轻此风险，请升级到包含修复程序的 XWiki 版本。版本 16.10.16、17.4.8 和 17.10.1 已经实施了解决方案，该解决方案将配置的查询限制应用于数据库列表属性的可用值。升级是保护您的 XWiki 实例的最有效方法。如果无法立即升级，请监控服务器资源使用情况，并在能够执行升级之前限制对受影响端点的访问。

修复方法翻译中…

Actualice XWiki Platform a la versión 16.10.16 o superior, 17.4.8 o superior, o 17.10.1 o superior para mitigar la vulnerabilidad de agotamiento de recursos en las API REST.  La actualización corrige la falta de límites de consulta en las llamadas a la API que pueden agotar los recursos del servidor en wikis grandes. Consulte la documentación oficial de XWiki para obtener instrucciones detalladas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-40104 是什么 — XWiki Platform 中的漏洞？