一、 漏洞 CVE-2025-7362 基础信息
漏洞信息
# MsUpload:通过未经验证的msu-continue系统消息存储跨站脚本(XSS)
## 漏洞概述
MsUpload MediaWiki扩展存在存储型XSS漏洞,漏洞通过msu-continue系统消息插入到DOM中,且没有进行适当清理,导致在文件上传UI中上传相同文件名时会出现漏洞。
## 影响版本
- 1.39.X:版本低于1.39.13
- 1.42.X:版本低于1.42.7
- 1.43.X:版本低于1.43.2
## 漏洞细节
当用户尝试上传一个已经在系统中存在的同名文件时,`msu-continue`系统消息会被插入到DOM中且未经过适当清理。攻击者可以通过这种方式注入恶意脚本,一旦其他用户访问相关内容,恶意脚本就会被执行。
## 影响
攻击者可以通过上传一个包含恶意脚本的同名文件来在受害者的浏览器中执行任意代码,导致存储型XSS攻击。这可能泄露用户的敏感信息,例如会话令牌,或者进行其他恶意活动。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
MsUpload: Stored Cross-Site Scripting (XSS) via unsanitized msu-continue system message
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The MsUpload extension for MediaWiki is vulnerable to stored XSS via the msu-continue system message, which is inserted into the DOM without proper sanitization. The vulnerability occurs in the file upload UI when the same filename is uploaded twice.
This issue affects Mediawiki - MsUpload extension: from 1.39.X before 1.39.13, from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Wikimedia Mediawiki - MsUpload extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wikimedia Mediawiki - MsUpload extension是Wikimedia基金会的一款批量上传文件插件。 Wikimedia Mediawiki - MsUpload extension 1.39.13之前版本、1.42.7之前版本和1.43.2之前版本存在安全漏洞,该漏洞源于msu-continue系统消息未经清理导致存储型跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-7362 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
