一、 漏洞 CVE-2025-12004 基础信息
漏洞信息
# Lockdown扩展模块比较API漏洞
## 概述
Incorrect Permission Assignment for Critical Resource(关键资源权限分配错误)漏洞存在于 Wikimedia Foundation 的 MediaWiki Lockdown 扩展中,可导致权限滥用。
## 影响版本
受影响版本:所有在 `master` 分支中 **MediaWiki Lockdown Extension** 且版本早于 MediaWiki Core Action API 被修复前的版本(即 **1.42 之前的版本**)。
## 细节
该漏洞是由于 Lockdown 扩展对关键资源的权限配置不当造成的。攻击者可以利用这一缺陷,篡改原本应受保护的功能或页面,从而进行权限滥用(Privilege Abuse)操作。
## 影响
攻击者可通过滥用权限,执行未授权或受限制的操作,可能导致数据泄露、修改受保护内容或对系统造成进一步危害。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
The compare API module breaks Extension:Lockdown
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Incorrect Permission Assignment for Critical Resource vulnerability in The Wikimedia Foundation Mediawiki - Lockdown Extension allows Privilege Abuse. Fixed in Mediawiki Core Action APIThis issue affects Mediawiki - Lockdown Extension: from master before 1.42.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
关键资源的不正确权限授予
来源:美国国家漏洞数据库 NVD
漏洞标题
MediaWiki - Lockdown Extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MediaWiki - Lockdown Extension是MediaWiki开源的一个权限控制扩展。 MediaWiki - Lockdown Extension版本至1.42之前版本存在安全漏洞,该漏洞源于关键资源权限分配不当,可能导致权限滥用。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-12004 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-12004 的情报信息
四、漏洞 CVE-2025-12004 的评论
暂无评论