一、 漏洞 CVE-2025-53487 基础信息
漏洞信息
                                        # ApprovedRevs:通过未过滤的系统消息存储跨站脚本(XSS)

## 概述
ApprovedRevs MediaWiki扩展在多个位置插入系统消息到原始HTML时没有正确转义,导致存储型XSS漏洞。攻击者可以通过`uselang=x-xss`语言覆盖注入JavaScript载荷,从而触发未转义的被构造的消息键。

## 影响版本
- Mediawiki - ApprovedRevs扩展:1.39.X版本(1.39.13之前的版本)
- Mediawiki - ApprovedRevs扩展:1.42.X版本(1.42.7之前的版本)
- Mediawiki - ApprovedRevs扩展:1.43.X版本(1.43.2之前的版本)

## 细节
此漏洞源于系统消息未适当转义即插入原始HTML中,允许攻击者通过`uselang=x-xss`语言覆盖注入恶意JavaScript载荷,导致后续显示时被浏览器执行。

## 影响
攻击者可以利用此漏洞在目标用户的浏览器中执行任意JavaScript代码,可能用来窃取用户会话凭证、植入恶意脚本或进行其他恶意操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ApprovedRevs: Stored Cross-Site Scripting (XSS) via unsanitized system messages
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The ApprovedRevs extension for MediaWiki is vulnerable to stored XSS in multiple locations where system messages are inserted into raw HTML without proper escaping. Attackers can exploit this by injecting JavaScript payloads via the uselang=x-xss language override, which causes crafted message keys to be rendered unescaped. This issue affects Mediawiki - ApprovedRevs extension: from 1.39.X before 1.39.13, from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Wikimedia Mediawiki - ApprovedRevs Extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wikimedia Mediawiki - ApprovedRevs Extension是Wikimedia基金会的一个页面版本管理的扩展。 Wikimedia Mediawiki - ApprovedRevs Extension 1.39.13之前版本、1.42.7之前版本和1.43.2之前版本存在安全漏洞,该漏洞源于系统消息插入HTML时未正确转义,可能导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53487 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-53487 的情报信息