XWiki Platform 安全漏洞RCE：CVE-2023-37462

2023年7月14日，美国国家标准与技术研究院（NIST）维护的综合性漏洞数据库（NVD）第一次记录了这个漏洞，这个漏洞影响版本是从7.0到14.48（不包括）和从14.5到14.10.4（不包括）

这篇文章对CVE-2023-37462漏洞进行复现，并对FOFA查询到的XWiki 平台进行漏洞检测并分析，以及如何去修复这个漏洞。

分析

（1）找关键信息：

通过Bing 和 Google 的大量搜索得到一些关键的验证信息，通过这个网址我们可以得到如何去复现org.xwiki.platform:xwiki-platform-skin-ui Eval Injection vulnerabilityhttps://github.com/advisories/GHSA-h4vp-69r8-gvjg漏洞。根据文章所述，得到以下关键信息。

可以通过打开

/xwiki/bin/view/%22%5D%5D%20%7B%7Basync%20async%3D%22true%22%20cached%3D%22false%22%20context%3D%22doc.reference%22%7D%7D%7B%7Bgroovy%7D%7Dprintln(%22Hello%20%22%20%2B%20%22from%20groovy!%22)%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D?sheet=SkinsCode.XWikiSkinsSheet&xpage=view

 （2）找验证目标

根据网站相关搜索结果得知该网站首页在FOFA搜索规则如下：

body="data-xwiki-reference" && title="Home - XWiki"

 逐个点击测试，根据主页下方的版本来选择易受攻击的网站和已经解决问题的网站，然后分别在地址栏输入同样的URI，结果证实了上面的验证信息。同时也复现了漏洞。

存在漏洞的网站：

 修复了漏洞的网站：

 可能的广泛利用

将POC录入到Goby后，用Goby对FOFA查询出来的XWiki 平台进行自定义漏洞扫描，发现漏洞比率是11.76%

 攻击者可以通过打开一个不存在的页面来工作，该页面经过精心设计以包含危险的有效负载。利用文档“SkinsCode.XWikiSkinsSheet”中的不当转义，从而执行任意脚本宏，包括Groovy和Python宏，这些宏允许远程执行代码，包括对所有wiki内容的无限制读写访问。

根据FOFA查询的相关结果，我们列出了最有可能受到此漏洞攻击的国家和地区。

值得注意的是，结果里包含已经修复的网站和未修复的网站

结论

CVE-2023-37462 是一个典型的远程代码访问的RCE漏洞。CVSS 3.x严重性和指标中，NIST给出了8.8高的得分，中央通讯社给出了9.9严重的评分。于是很快，XWiki平台给出了他们的修复方案。

可以选择升级到XWiki 14.4.8、XWiki 14.10.4 和 XWiki 15.0-rc-1 版本。

XWIKI-20457: Improve escaping in SkinsCode.XWikiSkinsSheet · xwiki/xwiki-platform@d9c88dd (github.com)

上所示程序也可以手动应用于受影响的文档。SkinsCode.XwikiSkinsSheet