一、漏洞详情

Wiki.js是一个基于Node.js的轻量级开源wiki软件。

Wiki.js项目发布安全公告，修复了Wiki.js中的2个XSS漏洞（CVE-2021-43856和CVE-2021-43855）。

Wiki.js XSS漏洞（CVE-2021-43856）

Wiki.js 2.5.264之前的版本容易受到通过非图像文件上传的存储型跨站脚本的攻击，这些文件类型可以在浏览器中直接内联查看。通过创建在浏览器中查看时可以执行内联JS的恶意文件（如XML文件），当其他用户查看该文件时将执行恶意JavaScript，但该文件必须由用户打开，不会在正常的Wiki.js页面直接触发。

Wiki.js XSS漏洞（CVE-2021-43855）

Wiki.js 2.5.264之前的版本容易受到通过使用伪造MIME类型的自定义请求上传SVG文件的存储型跨站脚本的攻击。其他用户直接查看SVG文件时将执行恶意JavaScript，当通过普通标签加载到页面内时，脚本不会执行。恶意的SVG文件只能通过使用伪造的MIME类型向服务器发送自定义请求来上传。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Wiki.js < 2.5.264

三、修复建议

目前这些漏洞已经修复，建议受影响用户及时升级更新至Wiki.js 2.5.264版本。

下载链接：https://github.com/Requarks/wiki