一、 漏洞 CVE-2025-25287 基础信息
漏洞标题
Lakeus系统消息中存在存储型XSS漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Lakeus 是一个为 MediaWiki 设计的简单皮肤。在版本 1.8.0 到版本 1.3.1+REL1.39、1.3.1+REL1.42 和 1.4.0 之前,Lakeus 存在通过恶意系统消息存储型跨站脚本漏洞。尽管编辑这些消息需要较高的权限,但具有 `(editinterface)` 权限的用户可以编辑系统消息,这些消息被不恰当处理,从而发送原始 HTML。在 `lakeus-footermessage` 的情况下,如果服务器配置为返回到此存储库,将会影响所有用户。否则,主题设计器中的系统消息仅在用户在其首选项中启用时才使用。版本 1.3.1+REL1.39、1.3.1+REL1.42 和 1.4.0 包含一个补丁。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Lakeus vulnerable to stored XSS via system messages
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Lakeus is a simple skin made for MediaWiki. Starting in version 1.8.0 and prior to versions 1.3.1+REL1.39, 1.3.1+REL1.42, and 1.4.0, Lakeus is vulnerable to store cross-site scripting via malicious system messages, though editing the messages requires high privileges. Those with `(editinterface)` rights can edit system messages that are improperly handled in order to send raw HTML. In the case of `lakeus-footermessage`, this will affect all users if the server is configured to link back to this repository. Otherwise, the system messages in themeDesigner.js are only used when the user enables it in their preferences. Versions 1.3.1+REL1.39, 1.3.1+REL1.42, and 1.4.0 contain a patch.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-25287 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-25287 的情报信息

  • 标题: Stored XSS via system messages · Advisory · lakejason0/mediawiki-skins-Lakeus · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    Stored XSS via system messages · Advisory · lakejason0/mediawiki-skins-Lakeus · GitHub

  • 标题: Fix stored XSSes via system messages · lakejason0/mediawiki-skins-Lakeus@fb79928 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Fix stored XSSes via system messages · lakejason0/mediawiki-skins-Lakeus@fb79928 · GitHub

  • 标题: mediawiki-skins-Lakeus/resources/themeDesigner.js at 82ad2cd341f85b814a6a0f37969e6210ebf2521d · lakejason0/mediawiki-skins-Lakeus · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    mediawiki-skins-Lakeus/resources/themeDesigner.js at 82ad2cd341f85b814a6a0f37969e6210ebf2521d · lakejason0/mediawiki-skins-Lakeus · GitHub

  • 标题: mediawiki-skins-Lakeus/includes/SkinLakeus.php at 82ad2cd341f85b814a6a0f37969e6210ebf2521d · lakejason0/mediawiki-skins-Lakeus · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    mediawiki-skins-Lakeus/includes/SkinLakeus.php at 82ad2cd341f85b814a6a0f37969e6210ebf2521d · lakejason0/mediawiki-skins-Lakeus · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-25287