问候语-

使用MediaWiki的安全/维护版本1.35.11/1.38.7/1.39.4/1.40.0，我们也想提供MediaWiki扩展和皮肤的补充公告现在公开的Pharmibor任务、安全补丁和后端口[1]：

用户查核+（T333569，CVE-223-37255）-特殊：CheckUser“获取编辑”易受攻击通过用户代理字符串进行HTML注入。https://gerrit.wikimedia.org/r/c/mediawiki/extensions/CheckUser网站/+/905706/

谷歌分析指标+（T333980，CVE-223-37251）-GoogleAnalyticsMetrics解析器功能扩展不能在onclick处理程序中正确转义js，也不能防止使用javascript url。https://gerrit.wikimedia.org/r/c/905661

用户查核+（T330968，CVE-223-37252）-特殊：CheckUserLog显示的用户名已被隐藏。https://gerrit.wikimedia.org/r/c/933686 https://gerrit.wikimedia.org/r/c/932822

货物+（T331311，CVE-223-37256）-Cargo允许在URL中存储javascript URL字段，并自动链接它们。https://gerrit.wikimedia.org/r//mediawiki/extensions/Cargo/+/894679

货物+（T331065，CVE-223-37254）-特殊中的XSS:CargoQuery使用默认值格式。https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Cargo/+/894666

校对页+（T326952，CVE-223-37253）-通过API和配置变量。https://gerrit.wikimedia.org/r/q/Ibe5f8e25dea155bbd811a65833394c0d4b906a34

双Wiki+（T323651，CVE-223-37304）-双Wiki扩展中的XSS（Wikisource）。https://gerrit.wikimedia.org/r/933666 https://gerrit.wikimedia.org/r/c/933667 https://gerrit.wikimedia.org/r/c/932825

用户查核+（T338276，CVE-223-37303）-Wikimedia\Rdbms\DBQueryDisconnectedError when阻止用户。https://gerrit.wikimedia.org/r/c/932823

维基数据库+（T250720，CVE-223-37301）-测试时Wikidata编辑过滤器不启动工具说应该这样。https://gerrit.wikimedia.org/r/c/933663

维基数据库+（T339111，CVE-223-37302）-Wikidata上的徽章样式注入到期到非转义引号。https://gerrit.wikimedia.org/r/c/933649 https://gerrit.wikimedia.org/r/c/933650

Wikimedia安全团队建议更新这些扩展和/或皮肤到当前主分支或相关的、受支持的发布分支[2] 尽快。上面提到的一些Phaubritor任务_可能仍然是私人的。不幸的是，当报告安全问题时，有时会暴露敏感信息，因为Phalibor历史上，我们不能不公开这些任务敏感信息。如果您有任何其他问题或担忧关于此更新，请随时联系security@wikimedia.org或在Phalibor[3]中提交安全任务。

[1]https://phaulibor.wikimedia.org/T333626[2]https://www.mediawiki.org/wiki/Version_lifecycle[3]https://www.mediawiki.org/wiki/Reporting_security_bugs