问候语-
使用MediaWiki的安全/维护版本1.35.11/1.38.7/1.39.4/1.40.0,我们也想提供MediaWiki扩展和皮肤的补充公告现在公开的Pharmibor任务、安全补丁和后端口[1]:
用户查核+(T333569,CVE-223-37255)-特殊:CheckUser“获取编辑”易受攻击通过用户代理字符串进行HTML注入。https://gerrit.wikimedia.org/r/c/mediawiki/extensions/CheckUser网站/+/905706/
谷歌分析指标+(T333980,CVE-223-37251)-GoogleAnalyticsMetrics解析器功能扩展不能在onclick处理程序中正确转义js,也不能防止使用javascript url。https://gerrit.wikimedia.org/r/c/905661
用户查核+(T330968,CVE-223-37252)-特殊:CheckUserLog显示的用户名已被隐藏。https://gerrit.wikimedia.org/r/c/933686
https://gerrit.wikimedia.org/r/c/932822
货物+(T331311,CVE-223-37256)-Cargo允许在URL中存储javascript URL字段,并自动链接它们。https://gerrit.wikimedia.org/r//mediawiki/extensions/Cargo/+/894679
货物+(T331065,CVE-223-37254)-特殊中的XSS:CargoQuery使用默认值格式。https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Cargo/+/894666
校对页+(T326952,CVE-223-37253)-通过API和配置变量。https://gerrit.wikimedia.org/r/q/Ibe5f8e25dea155bbd811a65833394c0d4b906a34
双Wiki+(T323651,CVE-223-37304)-双Wiki扩展中的XSS(Wikisource)。https://gerrit.wikimedia.org/r/933666
https://gerrit.wikimedia.org/r/c/933667
https://gerrit.wikimedia.org/r/c/932825
用户查核+(T338276,CVE-223-37303)-Wikimedia\Rdbms\DBQueryDisconnectedError when阻止用户。https://gerrit.wikimedia.org/r/c/932823
维基数据库+(T250720,CVE-223-37301)-测试时Wikidata编辑过滤器不启动工具说应该这样。https://gerrit.wikimedia.org/r/c/933663
维基数据库+(T339111,CVE-223-37302)-Wikidata上的徽章样式注入到期到非转义引号。https://gerrit.wikimedia.org/r/c/933649
https://gerrit.wikimedia.org/r/c/933650
Wikimedia安全团队建议更新这些扩展和/或皮肤到当前主分支或相关的、受支持的发布分支[2] 尽快。上面提到的一些Phaubritor任务_可能仍然是私人的。不幸的是,当报告安全问题时,有时会暴露敏感信息,因为Phalibor历史上,我们不能不公开这些任务敏感信息。如果您有任何其他问题或担忧关于此更新,请随时联系security@wikimedia.org或在Phalibor[3]中提交安全任务。
[1]https://phaulibor.wikimedia.org/T333626[2]https://www.mediawiki.org/wiki/Version_lifecycle[3]https://www.mediawiki.org/wiki/Reporting_security_bugs