关于 XWiki Platform Old Core 目录遍历漏洞(CVE-2026-34151)的预警通报
2026年07月10日
浏览量:
10
次 来源:
网络与教育技术中心
作者:
发布:
网络与教育技术中心
近日,工作发现最新漏洞威胁:XWiki Platform Old Core 目录遍历漏洞CVE-2026-34151
该漏洞出现在 /bin/skin/ 资源访问接口中,当 XWiki 部署在 Jetty 12 及以上版本环境时,接口对双重编码的路径穿越序列处理不当导致未经身份认证的远程攻击者可以构造恶意请求,通过双重编码绕过路径校验,逃逸原本限制的皮肤资源目录,读取 Jetty 进程权限范围内可访问的本地文件。成功利用该漏洞后,攻击者可读取服务器敏感文件,从而造成敏感信息泄露。
目前受影响的XWiki版本:
XWiki Platform < 17.10.5
18.0.0-rc-1 ≤ XWiki Platform < 18.2.0
升级至以下或更高的安全版本:
XWiki Platform 17.10.5 及更高版本
https://www.xwiki.org/xwiki/bin/view/ReleaseNotes/Data/XWiki/17.10.5/
XWiki Platform 18.2.0 及更高版本
https://www.xwiki.org/xwiki/bin/view/ReleaseNotes/Data/XWiki/18.2.0/
请各单位增强网络安全防护意识,立即排查产品使用情况,并督促指导受影响单位及时升级漏洞补丁,消除风险隐患。同时,加强网络安全监测,如发现遭攻击情况及时处置并报告。
