关键信息摘要 漏洞概述 CVE编号: CVE-2025-6927 标题: Autoblocks from global account suppressions are publicly visible 状态: Closed, Resolved 标签: Public, SECURITY 主要问题描述 问题: 全局账户抑制所生成的自动封锁信息在未认证的会话中公开可见。问题表现为封锁的原因、封锁创建者以及受抑制的用户名被公开暴露。 重现步骤: 1. 创建一个测试账户。 2. 使用管理员权限覆盖账户封锁+抑制该账户。 3. 未登录的情况下,通过API或Special:BlockList页查看封锁状态。 涉及项目和技术 项目: - MediaWiki-extensions-CentralAuth - MediaWiki-Blocks - MediaWiki-Platform-Team (Radar) 技术细节: - 涉及代码变更,如检查 或 。 - 安全补丁需要在T391343之后应用。 - API请求示例: 相关操作和跟进 补丁文件: - F62709792: 0002-SECURITY-Fix-leak-of-hidden-usernames-via-autoblocks.patch - F62709792: 0002-SECURITY-Fix-leak-of-hidden-usernames-via-autoblocks-via-autoblocks.patch 风险评级: Medium 状态更新: 任务由Open到In Progress,再到Resolved。 讨论与修复: 多名用户参与讨论,分析问题原因并提供补丁修复建议,包括对代码逻辑和权限检查的调整。