关键信息 漏洞概述 漏洞编号: CVE-2022-29969 漏洞类型: XSS 影响组件: Extension:RSS 特定配置: 当 时 影响与成因 问题本质: RSS extension 实现条纹标记器在类似问题中受影响,类似于 MediaWiki 核心使用的条纹标记器在修复前的状态T110143 触发条件: - 设置为 - RSS feed 可用于穿越属性 - 如下例中通过 标签可以获得自动触发效果 关联补丁 补丁文件: 提供了 合并变更: - https://gerrit.wikimedia.org/r/c/mediawiki/extensions/RSS/+/787807 - https://gerrit.wikimedia.org/r/78779 - 更多关联变更可参考 gerrit 记录 处理状态 当前状态: Closed, Resolved 处理进度: 补丁已合并并解决漏洞问题 安全标签: 已标记 标签,确保注重处理 其它信息 讨论相关: 任务有提及会发送补充发布公告,提醒维护者关于安全补丁更新的信息 风险评估: 最终评估为低风险,但依然被列入安全范畴进行处理