MediaWiki <1.3.1.2 跨站脚本攻击(XSS)(CVE-2021-30157)

# MediaWiki <1.3.1.2 跨站脚本攻击(XSS)(CVE-2021-30157) 在1.3.1.2之前的MediaWiki和1.3.2.x到1.35.2之前的1.35.x中的ChangesList特殊页面(例如RecentChanges and Special:Watchlist,)上,rcfilters-filter-*标签消息以未转义的HTML格式输出,从而导致XSS。 影响版本: MediaWiki <1.3.1.2 复现步骤: 编辑rcfilters-filter-*-label消息之一(例如,编辑MediaWiki:Rcfilters-filter-humans-label),并添加一个简单的XSS Payload,例如: ``` 图片[1]-MediaWiki-棉花糖会员站
“`

访问Special:RecentChanges并查看执行的JavaScript

ref:

* https://phabricator.wikimedia.org/T278058
* https://nvd.nist.gov/vuln/detail/CVE-2021-30157

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容