关键信息 漏洞类型 Stored XSS 通过 wikitext 在 ShortDescription 中实现。 影响范围 Package: ShortDescription (MediaWiki) 受影响版本: >= 05f6c68248f37dcc2d51cf6d, = 42f2983ea5796b4 描述 摘要: 短描述在插入 HTML 前未被 ShortDescription 正确清理,允许用户通过编辑页面插入任意 HTML 到 DOM。 详细信息: 用户提供的描述通过 解析函数处理时, 函数清理不足,导致 HTML 实体被解码。 PoC 1. 启用 ShortDescription。 2. 确保 设置为 (默认值)。 3. 创建页面并插入以下 wikitext: 4. 访问该页面。 影响 任意 HTML 可以由任何用户插入到 DOM 中,允许执行 JavaScript。 严重性 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 高 - 完整性影响: 低 - 可用性影响: 低 CVSS 分数: 8.6/10 CVE ID CVE-2025-5369 弱点 CWE-79, CWE-80 报告者 SomeMWDev