关键漏洞信息 漏洞类型 Stored XSS: 通过wikitext引起的存储型XSS漏洞。 影响版本 受影响版本: <= 4.0.0 修复版本: 无 CVSS评分 严重性: High (8.6/10) 攻击向量: Network 攻击复杂度: Low 所需权限: None 用户交互: None 作用范围: Unchanged 机密性影响: High 完整性影响: Low 可用性影响: Low CVE ID CVE-2025-59839 弱点 CWE-79: 跨站脚本(XSS) 报告者 SomeMWDev 漏洞描述 摘要: EmbedVideo扩展允许在HTML元素中添加任意属性,导致通过wikitext的存储型XSS。 详细信息: iframe的属性被未保留的数据属性( )的值填充,该属性可以通过wikitext设置。 PoC 1. 创建包含以下内容的页面: 2. 点击“Click me!”文本。 3. 点击下方的“Load video”按钮。 影响 任意HTML可以由任何用户插入到DOM中,允许执行JavaScript。