关键信息总结 漏洞概况 CVE编号: CVE-2021-30154 漏洞类型: Unescaped messages used in HTML on Special:NewFiles 状态: Closed, Resolved 影响 风险等级: Low (相对较低) 受影响的页面: 特殊页面 Special:NewFiles 漏洞细节 描述: 特殊页面 Special:NewFiles 上所有的 消息都未转义地输出为 HTML。 具体步骤: 1. 编辑任意 消息并添加简单的XSS字符串,如 2. 访问 Special:NewFiles 页面时,会执行JavaScript代码。 解决方案 更改内容: - 修补文件包括 T278014.patch,用于转义 消息。 - 提案补丁已上传,确保消息在 HTML 输出时进行转义。 补丁: 合并变更: - Change 674083 & Change 674107 分别在 MediaWiki 仓库中合并。 后续跟踪 相关任务: T22112 (一些 MediaWiki 消息在 HTML 中不安全)、T29003 (与缺陷追踪相关的任务)。 受影响的发布版本: MW 1.31 release、MW 1.35 release,修复包括在对应版本发布中。