发布日期：2022-01-10
更新日期：2022-03-11

受影响系统：

MediaWiki MediaWiki >= 1.37.0
MediaWiki MediaWiki >= 1.36.0
MediaWiki MediaWiki <= 1.35.5
MediaWiki MediaWiki < 1.37.1
MediaWiki MediaWiki < 1.36.3

描述：

---

CVE(CAN) ID: CVE-2021-46146

MediaWiki是美国维基媒体（MediaWiki）基金会的一套自由免费的基于网络的Wiki引擎。该产品可用于部署内部的知识管理和内容管理系统。WikibaseMediaInfo是使用在其中的一个用于处理多媒体文件的结构化数据的扩展程序。
MediaWiki 1.35.5之前版本、1.36.0-1.36.3版本和1.37.0-1.37.1版本存在跨站脚本漏洞，该漏洞源于WikibaseMediaInfo组件未能正确处理给定媒体文件的标题字段。攻击者可利用该漏洞导致客户端代码执行。

<**>

建议：

---

厂商补丁：

MediaWiki
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wikipedia.sourceforge.net/

浏览次数：1702
严重程度：0（网友投票）