关键漏洞信息 漏洞ID CVE-2025-62666 漏洞类型 Stored XSS through system messages in SkinBlueSky 描述 在某些情况下,SkinBlueSky 皮肤没有正确转义系统消息中的内容,导致在 HTML 中呈现时允许存储型 XSS。 影响范围 Sidebar lines Sidebar lines with empty targets Sidebar lines with internal links Echo Notifications Indicator Login link 复现步骤 1. Sidebar lines - 打开页面并包含以下脚本: - 查看页面 2. Sidebar lines with empty targets - 打开页面并包含以下脚本: - 查看页面 3. Sidebar lines with internal links - 打开页面并包含以下脚本: - 查看页面 4. Echo Notifications Indicator - 触发通知并在通知中包含恶意脚本 5. Login link - 访问登录页面并触发漏洞 原因 系统消息在显示前未被正确转义,导致恶意脚本可以直接执行。 额外信息 变量 被设置为 版本:MediaWiki 1.38.0-wmf.23 相关链接 相关讨论和修复记录 ``` 这些信息总结了漏洞的关键细节,包括漏洞类型、影响范围、复现步骤、原因以及额外的相关信息。