一、 漏洞 CVE-2025-7363 基础信息
漏洞信息
                                        # 标题图标:通过#titleicon_unicode解释器函数存储的跨站脚本(XSS)

## 漏洞概述
MediaWiki的TitleIcon扩展存在存储型XSS漏洞,通过`#titleicon_unicode`解析函数可以注入任意JavaScript。

## 影响版本
- 1.39.X: 1.39.13之前的版本
- 1.42.X: 1.42.7之前的版本
- 1.43.X: 1.43.2之前的版本

## 漏洞细节
用户输入被传递到`#titleicon_unicode`解析函数中,但未进行任何过滤,直接被封装在HtmlArmor对象中并渲染到页面头部,导致恶意用户可以注入任意JavaScript代码。

## 漏洞影响
此漏洞允许攻击者通过存储型XSS在页面中注入恶意脚本,可能导致敏感信息泄露、账户劫持等安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
TitleIcon: Stored Cross-Site Scripting (XSS) via #titleicon_unicode parser function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The TitleIcon extension for MediaWiki is vulnerable to stored XSS through the #titleicon_unicode parser function. User input passed to this function is wrapped in an HtmlArmor object without sanitization and rendered directly into the page header, allowing attackers to inject arbitrary JavaScript. This issue affects Mediawiki - TitleIcon extension: from 1.39.X before 1.39.13, from 1.42.X before 1.42.7, from 1.43.X before 1.43.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Wikimedia Mediawiki - TitleIcon extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wikimedia Mediawiki - TitleIcon extension是Wikimedia基金会的一个标题图标扩展。 Wikimedia Mediawiki - TitleIcon extension 1.39.13之前版本、1.42.7之前版本和1.43.2之前版本存在安全漏洞,该漏洞源于#titleicon_unicode解析函数未经清理导致存储型跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-7363 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-7363 的情报信息