LOWCVE-2025-67646CVSS 3.5

TableProgressTracking 缺少 CSRF 保护允许未授权的状态更改

Q: 什么是 CVE-2025-67646 — CSRF 在 TableProgressTracking 中?

CVE-2025-67646 是 MediaWiki TableProgressTracking 扩展中的一个跨站请求伪造 (CSRF) 漏洞，允许攻击者在用户不知情的情况下执行未经授权的操作。

Q: 我是否受到 CVE-2025-67646 在 TableProgressTracking 中影响?

如果您正在使用 MediaWiki TableProgressTracking 扩展的版本 1.2.0 或更早版本，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-67646 在 TableProgressTracking 中?

请升级 TableProgressTracking 扩展至 1.2.1 版本或更高版本以修复此漏洞。

Q: CVE-2025-67646 是否正在被积极利用?

目前尚无公开的漏洞利用程序，但该漏洞已公开披露，建议尽快应用补丁。

Q: 在哪里可以找到 MediaWiki 官方关于 CVE-2025-67646 的公告?

请访问 MediaWiki 官方安全公告页面以获取更多信息：[https://www.mediawiki.org/wiki/Security_alerts](https://www.mediawiki.org/wiki/Security_alerts)

平台

php

组件

tableprogresstracking

修复版本

1.2.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-67646 是 MediaWiki TableProgressTracking 扩展中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在已认证用户不知情的情况下，通过其浏览器触发未经授权的操作。受影响的版本包括 1.2.0 及更早版本，该漏洞已在 1.2.1 版本中修复。

影响与攻击场景

攻击者可以利用此 CSRF 漏洞创建恶意网页，当已认证用户访问该网页时，攻击者可以执行未经授权的操作。具体来说，攻击者可以删除 TableProgressTracking 表格中的数据，或修改表格的进度跟踪信息。由于缺乏 CSRF 令牌验证，攻击者无需知道用户的密码或会话信息即可执行这些操作。这可能导致数据丢失、信息泄露或对 MediaWiki 网站的完整性造成损害。该漏洞的潜在影响取决于 TableProgressTracking 扩展在 MediaWiki 网站中的重要性和敏感性。

利用背景

目前尚无公开的漏洞利用程序 (PoC) 可用，但该漏洞已公开披露。CISA 尚未将其添加到 KEV 目录。由于该漏洞的 CVSS 评分为低危，且缺乏公开的 PoC，因此被认为具有较低的利用概率。建议尽快应用补丁。

哪些人处于风险中翻译中…

Wikis utilizing the TableProgressTracking extension in versions 1.2.0 and below are at risk. This includes organizations relying on MediaWiki for project tracking, task management, or other progress-related workflows. Shared hosting environments where multiple MediaWiki instances share the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.

检测步骤翻译中…

• php / web: Examine MediaWiki extension directories for versions prior to 1.2.1. Check access logs for suspicious requests targeting the TableProgressTracking REST API endpoints without proper CSRF tokens.

find /var/www/mediawiki/extensions/ -name "TableProgressTracking*" -type d -print0 | xargs -0 stat -c '%n %y'

• php / web: Review MediaWiki's audit logs for unusual activity related to table creation or deletion. Look for requests originating from unexpected IP addresses. • generic web: Monitor for unusual activity within the MediaWiki installation, such as unexpected table modifications or data inconsistencies.

攻击时间线

2025-12-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件tableprogresstracking

供应商Telepedia

影响范围修复版本

< 1.2.1 – < 1.2.11.2.2

弱点分类 (CWE)

CWE-352

时间线

已保留2025-12-09
发布日期2025-12-10
修改日期2025-12-11
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是升级 TableProgressTracking 扩展至 1.2.1 版本或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制 TableProgressTracking REST API 的访问权限，例如通过防火墙或访问控制列表 (ACL)；实施严格的输入验证和输出编码，以防止恶意请求；并教育用户注意潜在的 CSRF 攻击，避免访问可疑的链接或网页。升级后，请确认 REST API 接口已正确验证 CSRF 令牌。

修复方法

将 TableProgressTracking 扩展更新到 1.2.1 或更高版本。此版本修复了 REST API 中的 CSRF 漏洞。更新将防止攻击者代表已认证用户执行未经授权的操作。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-67646 — CSRF 在 TableProgressTracking 中?