XWiki Platform 路径遍历漏洞(CVE-2026-34151)

北京赛克艾威科技有限公司 2026-07-08


  • 漏洞编号:CVE-2026-34151
  • 漏洞等级:高危
  • 漏洞标签:影响万级、技术细节公开、关键漏洞、奇安信CERT验证
  • 发布时间:2026-07-08

漏洞描述

XWiki 是一款开源的企业级 Wiki 平台和知识管理工具,基于 Java 开发,支持结构化内容管理、文档协作、扩展插件机制以及强大的脚本和宏功能。它广泛应用于团队知识库构建、内部文档共享、企业门户和内容管理系统等领域,提供实时协作编辑、版本控制、权限管理和搜索等核心特性。XWiki 具有高度的可扩展性,可通过插件和脚本实现自定义应用开发,是许多组织数字化知识管理的首选平台。 该漏洞源于 /skin/ action 端点在处理资源路径时,未充分抵御 Jetty 12\+ 应用服务器特有的 URL 解码和规范化行为,导致攻击者可通过双重 URL 编码的 “..%252f” 序列绕过路径限制。该漏洞主要影响使用 Jetty 12\+ 部署的 XWiki 实例(例如官方 Docker 镜像,默认将 XWiki 部署在多级目录下)。攻击者可利用该漏洞,通过构造特殊 URL 访问 Jetty 实例有权限读取的任意资源,包括系统配置文件、Hibernate 配置、XWiki 配置文件甚至服务器敏感文件(如 /etc/passwd),从而导致敏感信息泄露。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/473820