CVE-2026-0671CVE-2026-0671是Wikimedia Foundation MediaWiki的UploadWizard扩展中存在的一个跨站脚本攻击(XSS)漏洞。该漏洞属于Web页面生成期间输入处理不当(InImproper Neutralization of Input During Web Page Generation)类型,CVSS 3.1基础评分为6.1,属于中危级别。漏洞允许攻击者通过构造恶意输入,在受害者的浏览器中执行任意JavaScript代码。由于该漏洞位于文件上传功能的UploadWizard扩展中,攻击者可能在上传文件时注入恶意脚本,当其他用户查看包含恶意内容的上传记录或元数据时,恶意代码将在其浏览器上下文中执行。此类XSS漏洞可被利用来窃取用户会话cookie、劫持用户账户、执行恶意操作或传播钓鱼攻击。漏洞影响MediaWiki的1.45、1.44、1.43和1.39版本,攻击复杂度低,但需要用户交互才能触发。
该XSS漏洞源于MediaWiki UploadWizard扩展在处理用户上传文件元数据时,未对用户输入进行充分的输出编码转义。当用户上传文件时,UploadWizard会显示文件名、描述等元数据信息。如果攻击者在文件名或描述字段中注入恶意JavaScript代码(如<script>alert(document.cookie)</script>或<img src=x onerror=...>),这些未经过滤的输入将被直接嵌入到生成的HTML页面中。当其他用户访问这些页面时,浏览器会将恶意代码作为合法脚本执行。攻击者可以利用此漏洞窃取受害者的认证令牌、会话ID,或诱导用户执行非预期的操作。由于CVSS向量显示攻击复杂度低且无需认证,攻击者只需构造特定的上传请求即可触发漏洞,但需要诱导受害者访问包含恶意内容的页面才能完成攻击链。