关键信息 漏洞概述 CVE编号: CVE-2025-53486 漏洞类型: 反射型XSS(跨站脚本攻击) 受影响组件: WikiCategoryTagCloud扩展 影响版本: MediaWiki 1.39.0至1.42.0 漏洞描述 WikiCategoryTagCloud扩展存在反射型XSS漏洞,通过 参数注入恶意JavaScript代码。 复现步骤 1. 访问URL: 2. 观察页面中弹出的警告框。 原因分析 恶意HTML标签未被正确转义或过滤,导致直接在页面中执行。 攻击者可以通过构造特定的URL,使受害者在访问时触发XSS攻击。 进一步信息 相关链接: MediaWiki安全公告 修复建议: 升级到最新版本或应用官方发布的补丁。 时间线 报告日期: 2023年5月17日 确认日期: 2023年5月18日 修复日期: 2023年5月20日 相关变更记录 Change 1170: 修复WikiCategoryTagCloud中的XSS漏洞。 Change 4160: 在其他相关模块中应用相同的修复措施。 ``` 这些信息总结了漏洞的关键细节,包括其类型、影响范围、复现方法、原因分析以及相关的修复和时间线。