一、 漏洞 CVE-2025-53479 基础信息
漏洞信息
# CheckUser:通过未经过滤的国际化消息在Special:CheckUser中存在反射式跨站脚本攻击(XSS)
## 漏洞概述
Mediawiki 的 CheckUser 扩展中的 Special:CheckUser 接口存在反射型 XSS 漏洞。该漏洞通过 rev-deleted-user 消息注入 JavaScript,因为该消息在渲染时没有进行适当的转义。
## 影响版本
- 1.42.X 系列:版本低于 1.42.7
- 1.43.X 系列:版本低于 1.43.2
## 漏洞细节
漏洞通过 `uselang=x-xss` 语言覆盖机制注入 JavaScript。由于 `rev-deleted-user` 消息在渲染时未进行适当的 HTML 转义,攻击者可以在该消息中插入恶意脚本,从而导致反射型 XSS 攻击。
## 影响
攻击者可以利用该漏洞在用户浏览器中执行任意 JavaScript 代码,进而可能窃取用户会话信息,篡改用户界面,或执行其他恶意行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CheckUser: Reflected Cross-Site Scripting (XSS) in Special:CheckUser via unsanitized internationalized message
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The CheckUser extension’s Special:CheckUser interface is vulnerable to reflected XSS via the rev-deleted-user message. This message is rendered without proper escaping, making it possible to inject JavaScript through the uselang=x-xss language override mechanism.
This issue affects Mediawiki - CheckUser extension: from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Wikimedia Mediawiki - CheckUser Extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wikimedia Mediawiki - CheckUser Extension是Wikimedia基金会的一个查询IP地址的扩展。 Wikimedia Mediawiki - CheckUser Extension存在安全漏洞,该漏洞源于rev-deleted-user消息未正确转义,可能导致反射型跨站脚本攻击。以下版本受到影响:1.39.13版本之前的1.39.x版本、1.42.7版本之前的1.42.x版本和1.43.2版本之前的1.43.x版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53479 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
