漏洞标题
N/A
漏洞描述信息
通过1.36.2版本发现了一个问题,在MediaWiki的MediaSearch扩展中。该问题源于建议文本(mediasearch-did-you-mean是一个参数)的未正确净化,导致允许通过查询中的intitle:搜索操作来注入HTML和JavaScript。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Special:MediaSearch in the MediaSearch extension in MediaWiki through 1.36.2. The suggestion text (a parameter to mediasearch-did-you-mean) was not being properly sanitized and allowed for the injection and execution of HTML and JavaScript via the intitle: search operator within the query.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MediaWiki 跨站脚本漏洞
漏洞描述信息
MediaWiki是美国维基媒体(MediaWiki)基金会的一套自由免费的基于网络的Wiki引擎。该产品可用于部署内部的知识管理和内容管理系统。 MediaWiki 的 MediaSearch 扩展中的 Special:MediaSearch 中存在安全漏洞,该漏洞源于建议文本(mediasearch-did-you-mean 的一个参数)没有得到适当的清理,并允许通过查询中的 intitle: 搜索运算符注入和执行 HTML 和 JavaScript。
CVSS信息
N/A
漏洞类别
跨站脚本