Exploit for Missing Authorization in Xwiki CVE-2024-55879

Name: Exploit for Missing Authorization in Xwiki CVE-2024-55879
Rating: 5 (132 reviews)
2026-02-26 | CVSS 9.1
## https://sploitus.com/exploit?id=9446A906-2D69-5E2B-B8C9-FF00CEE686F1
# Research: XWiki Platform RCE (CVE-2024-55879) Simulation

![Security Research](https://img.shields.io/badge/Research-Security-red) ![XWiki](https://img.shields.io/badge/XWiki-Platform-blue) ![CVE](https://img.shields.io/badge/CVE--2024--55879-Critical-orange)

## 프로젝트 소개 (Project Overview)

본 프로젝트는 **XWiki Platform**에서 발견된 원격 코드 실행(RCE) 취약점인 **CVE-2024-55879**를 연구하고 시연하기 위해 구축된 **연구용 PoC(Proof of Concept) 환경**입니다.

실제 XWiki 엔진은 매우 무겁기 때문에, 본 연구에서는 취약점의 핵심 원리인 **임의 스크립트 실행(Unsafe Script Execution)** 메커니즘을 **Spring Boot**와 **Groovy**를 사용하여 경량화된 형태로 시뮬레이션하였습니다. 이를 통해 파일 처리 및 스크립트 실행 과정에서의 보안 결함을 현실적으로 재현하였습니다.

### 연구 목표
1. **Unsafe Reflection/Scripting** 취약점의 동작 원리 이해
2. Java 애플리케이션에서의 동적 코드 실행(GroovyShell 등) 위험성 분석
3. **RCE(Remote Code Execution)** 공격 벡터를 통한 시스템 장악 시나리오 검증

---

## 기술 스택 (Tech Stack)

| 구분 | 스택 | 버전 | 비고 |
| :--- | :--- | :--- | :--- |
| **Framework** | Spring Boot | `2.7.5` | Simulation Framework |
| **Engine** | Groovy | `3.0.13` | **Script Execution Engine** |
| **Vulnerability** | Insecure Deserialization | - | RCE Vector |
| **Language** | Java | `11` | JDK Environment |

---

## 취약점 분석 보고서 (Vulnerability Report)

본 프로젝트에서 분석한 핵심 취약점은 다음과 같습니다.

### 1. Remote Code Execution via Script Injection
*   **CVE-2024-55879**
*   **설명**: XWiki의 특정 클래스(`XWiki.ConfigurableClass` 등)를 처리하는 과정에서, 적절한 권한 검증 없이 사용자 입력값이 스크립트 엔진으로 전달되어 실행되는 취약점입니다. 공격자는 이를 통해 서버 권한으로 임의의 코드를 실행할 수 있습니다.
*   **위험도**: **Critical (System Compromise)**
*   **구현 위치**: [취약한 컨트롤러](src/main/java/com/xwiki/simulation/VulnerableController.java) (`VulnerableController.java`)

### 2. Groovy Script Execution
*   **Methodology**
*   **설명**: Java 애플리케이션 내에서 `GroovyShell` 등을 사용할 때 입력값 검증이 없으면, Java API 전체에 접근 가능한 강력한 쉘을 공격자에게 제공하는 꼴이 됩니다.
*   **Payload 예시**: `"Runtime.getRuntime().exec('id')"`

---

## 실행 및 검증 (How to Reproduce)

연구 및 검증을 위해 격리된 로컬 환경에서 실행하는 것을 권장합니다.

```bash
# 1. 컨테이너 실행
docker-compose up --build
```

1.  **Exploit Simulation**:
    ```bash
    curl -X POST http://localhost:8082/xwiki/bin/save \
         -H "Content-Type: application/json" \
         -d '{"content": "Runtime.getRuntime().exec(\"id\").getInputStream().getText()"}'
    ```
    *   **결과**: 리눅스 `id` 명령어의 실행 결과가 응답으로 반환됨 (RCE 성공).

---

## 대응 방안 (Mitigation)

*   **XWiki 업데이트**: 보안 패치가 적용된 버전(15.10.9+, 16.3.0+)으로 업데이트합니다.
*   **스크립트 샌드박스**: 스크립트 실행 시 권한을 제한하는 **Sandbox** 환경을 구성합니다.
*   **입력값 검증**: 사용자로부터 입력받은 스크립트나 코드를 실행하는 기능을 원천적으로 차단하거나 엄격히 통제합니다.

---