关键信息 漏洞概述 CVE编号: CVE-2025-6593 标题: "{{SITENAME}} registered email address has been changed" email sent to unverified email addresses 状态: Closed, Resolved 标签: Security, SECURE, setCurrentEmailWithConfirmation 发现者 发现者: @AAlhazwani-WMF 漏洞描述 1. 问题场景: - Ada 使用 Bob 的电子邮件地址注册。 - Ada 更改电子邮件地址时,未验证的旧电子邮件地址会收到包含 Ada 的 IP 地址、用户名和个人电子邮件的邮件。 2. 补丁文件: 提供了文件 F61813484: T396230.patch 相关更改 相关 Gerrit 更改: - SECURITY: fix IP leak to unverified email 修复进展 修复状态: - 2025年6月10日,任务状态更改为“In Progress”。 - 2025年6月24日,修复补丁被合并到主分支。 - 2025年6月30日,补丁被纳入 MW-1.43、MW-1.44、MW-1.42 和 MW-1.39 的安全发布。 风险评估 风险评级: Medium 优先级: Low 关联对象 关联任务 T389303 (Formally EOL MW 1.42)、T389302 (Release MediaWiki 1.39.13/1.42.7/1.43.2) 等。