Blankeclair

**Nome do Software Vulnerável e Versões Afetadas** Versões do ManageWiki anteriores ao commit f504ed8 **Descrição** O problema está relacionado a uma injeção de SQL ao renomear um namespace em Special:ManageWiki/namespaces, especificamente ao utilizar um prefixo de página com uma payload de injeção. Isso ocorre no ManageWiki, uma extensão do MediaWiki para gerenciamento de wikis. **Recomendações** Para versões anteriores ao commit f504ed8, como medida paliativa temporária, considere definir `$wgManageWiki['namespaces'] = false;` para mitigar o risco de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade, mas ela foi corrigida no commit f504ed8.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão Version Compare versões 1.39 a 1.43 Descrição: O problema está relacionado à Codificação ou Escape de Saída Impróprios, o que permite Cross-Site Scripting (XSS) na Extensão Version Compare do Mediawiki. Recomendações: Para as versões 1.39 a 1.43, atualize para uma versão que corrija o problema de Codificação ou Escape de Saída Impróprios para prevenir Cross-Site Scripting (XSS). No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão AJAX Poll versões 1.39 a 1.43 Descrição: O problema está relacionado à Validação inadequada de entrada, o que permite Cross-Site Scripting (XSS) na Extensão AJAX Poll do Mediawiki. Recomendações: Para as versões 1.39 a 1.43, atualize para uma versão que corrija o problema de Validação inadequada de entrada para prevenir Cross-Site Scripting (XSS). Como solução temporária, considere restringir a entrada de usuários para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão Tabs versões 1.39 a 1.43 Descrição: O problema está relacionado a uma vulnerabilidade de Validação de Entrada Imprópria que permite Injeção de Código na Extensão Tabs do Mediawiki. Recomendações: Para as versões 1.39 a 1.43, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: MediaWiki - Extensão Confirm Account versões 1.39 a 1.43 Descrição: O problema está relacionado à codificação ou escape inadequados da saída, o que possibilita Cross-Site Scripting (XSS) na Extensão Confirm Account do MediaWiki. Isso se deve a um problema de escape de saída. Recomendações: Para as versões 1.39 a 1.43, considere desativar a extensão afetada até que um patch esteja disponível para prevenir ataques de Cross-Site Scripting (XSS). Restrinja o acesso a áreas sensíveis da aplicação que utilizam a Extensão Confirm Account para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - HTML Tags versões 1.39 a 1.43 Descrição: O problema está relacionado à validação inadequada de entrada, permitindo Cross-Site Scripting (XSS) no Mediawiki - HTML Tags. Isso se deve à falta de validação adequada da entrada do usuário, o que pode levar à execução de scripts maliciosos no lado do cliente. Recomendações: Para as versões 1.39 a 1.43, atualize para uma versão que inclua a correção para este problema para prevenir ataques de Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão:SimpleCalendar versões 1.39 a 1.43 Descrição: O problema está relacionado a uma vulnerabilidade de Validação Incorreta de Entrada que permite Cross-Site Scripting (XSS) no Mediawiki - Extensão:SimpleCalendar. Recomendações: Para as versões 1.39 a 1.43, atualize para uma versão que inclua a correção para a vulnerabilidade de Validação Incorreta de Entrada para prevenir ataques de Cross-Site Scripting (XSS).

Nome do Software Vulnerável e Versões Afetadas: Versões do Lakeus de 1.8.0 a 1.3.1 Versões do Lakeus anteriores a 1.3.1+REL1.39 Versões do Lakeus anteriores a 1.3.1+REL1.42 Versões do Lakeus anteriores a 1.4.0 Descrição: O Lakeus é um tema simples desenvolvido para o MediaWiki. Ele é vulnerável a cross-site scripting (XSS) armazenado por meio de mensagens de sistema maliciosas, embora a edição das mensagens exija privilégios elevados. Usuários com direitos `(editinterface)` podem editar mensagens de sistema que são tratadas de forma inadequada para enviar HTML bruto. No caso de `lakeus-footermessage`, isso afetará todos os usuários se o servidor estiver configurado para vincular de volta a este repositório. Caso contrário, as mensagens de sistema em themeDesigner.js são usadas apenas quando o usuário as habilita em suas preferências. Recomendações: Para versões do Lakeus de 1.8.0 a 1.3.1, atualize para a versão 1.3.1+REL1.39 ou posterior. Para versões do Lakeus anteriores a 1.3.1+REL1.42, atualize para a versão 1.3.1+REL1.42 ou posterior. Para versões do Lakeus anteriores a 1.4.0, atualize para a versão 1.4.0 ou posterior. Como solução temporária, considere restringir o acesso aos direitos `(editinterface)` para minimizar o risco de exploração. Evite usar a mensagem de sistema `lakeus-footermessage` até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Extensão DataTransfer do Mediawiki - versões 1.39.X até 1.39.10 Extensão DataTransfer do Mediawiki - versões 1.41.X até 1.41.2 Extensão DataTransfer do Mediawiki - versões 1.42.X até 1.42.1 **Descrição** O problema afeta a Extensão DataTransfer do Mediawiki, permitindo Falsificação de Solicitação entre Sites (CSRF) e Scripting entre Sites (XSS) devido à neutralização inadequada de entrada durante a geração de páginas web. **Recomendações** Para as versões 1.39.X até 1.39.10, atualize para a versão 1.39.11 ou posterior. Para as versões 1.41.X até 1.41.2, atualize para a versão 1.41.3 ou posterior. Para as versões 1.42.X até 1.42.1, atualize para a versão 1.42.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Mediawiki - Extensão RefreshSpecial versões 1.39.X até 1.39.11 Mediawiki - Extensão RefreshSpecial versões 1.41.X até 1.41.3 Mediawiki - Extensão RefreshSpecial versões 1.42.X até 1.42.2 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, permitindo Cross-Site Scripting (XSS). Isso possibilita que atacantes injetem scripts maliciosos em páginas web. **Recomendações** Para as versões 1.39.X até 1.39.11, atualize para uma versão posterior à 1.39.11. Para as versões 1.41.X até 1.41.3, atualize para uma versão posterior à 1.41.3. Para as versões 1.42.X até 1.42.2, atualize para uma versão posterior à 1.42.2.

**Nome do Software Vulnerável e Versões Afetadas** Mediawiki - Extensão OpenBadges versões 1.39.X até 1.39.10 Mediawiki - Extensão OpenBadges versões 1.41.X até 1.41.2 Mediawiki - Extensão OpenBadges versões 1.42.X até 1.42.1 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-Site Scripting (XSS). Isso permite a ocorrência de Cross-Site Scripting (XSS) na Extensão OpenBadges do Mediawiki. **Recomendações** Para as versões 1.39.X até 1.39.10, atualize para a versão 1.39.11 ou posterior. Para as versões 1.41.X até 1.41.2, atualize para a versão 1.41.3 ou posterior. Para as versões 1.42.X até 1.42.1, atualize para a versão 1.42.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Mediawiki - ArticleFeedbackv5 versões 1.42.X a 1.42.2 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, permitindo Cross-Site Scripting (XSS). Isso possibilita que atacantes injetem scripts maliciosos em páginas web, podendo resultar em ações não autorizadas ou roubo de dados. **Recomendações** Para as versões 1.42.X a 1.42.2, atualize para uma versão posterior à 1.42.2 para corrigir a falha. Como medida temporária, considere restringir o acesso à extensão `ArticleFeedbackv5` até que uma correção esteja disponível. Evite utilizar dados inseridos pelo usuário na extensão afetada até que a falha seja resolvida.

**Nome do Software Vulnerável e Versões Afetadas** Mediawiki - Extensão Breadcrumbs2 versões 1.39.X até 1.39.11 Mediawiki - Extensão Breadcrumbs2 versões 1.41.X até 1.41.5 Mediawiki - Extensão Breadcrumbs2 versões 1.42.X até 1.42.4 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, permitindo Cross-Site Scripting (XSS). Isso possibilita que atacantes injetem scripts maliciosos em páginas web, potencialmente levando a ações não autorizadas ou roubo de dados. **Recomendações** Para as versões 1.39.X até 1.39.11, atualize para uma versão posterior à 1.39.11 para resolver o problema. Para as versões 1.41.X até 1.41.5, atualize para uma versão posterior à 1.41.5 para resolver o problema. Para as versões 1.42.X até 1.42.4, atualize para uma versão posterior à 1.42.4 para resolver o problema. Como solução temporária, considere restringir o acesso à extensão Breadcrumbs2 até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Versões do TabberNeue anteriores a 2.7.2 **Descrição** O problema surge devido ao uso de entrada de usuário não escapada na construção de HTML, permitindo que qualquer usuário capaz de editar páginas ou renderizar wikitext realize ataques de cross-site scripting (XSS) contra outros usuários. Especificamente, em TabberTransclude.php, o nome da página fornecido pelo usuário não é escapado durante a saída, permitindo que um payload de XSS seja usado como nome da página. Esta vulnerabilidade pode ser explorada ao renderizar wikitext malicioso, potencialmente permitindo que um atacante engane vítimas para clicarem em links para Special:ExpandTemplates com o wikitext malicioso no parâmetro `wpInput`. **Recomendações** Para versões anteriores a 2.7.2, atualize para a versão 2.7.2 para corrigir esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao módulo TabberTransclude.php para minimizar o risco de exploração. Além disso, evite usar entrada de usuário não escapada no parâmetro `wpInput` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** ImportDump (versões afetadas não especificadas) **Descrição** O problema diz respeito à extensão ImportDump do MediaWiki, projetada para automatizar solicitações de importação de usuários. O ID de ator local de um usuário é armazenado no banco de dados para rastrear quem fez quais solicitações. No entanto, se um usuário em outra wiki tiver o mesmo ID de ator que alguém na wiki central, ele poderá agir como se fosse o solicitante original da wiki. Isso pode ser explorado para criar novos comentários, editar solicitações e visualizar solicitações privadas. **Recomendações** Atualize para uma versão que inclua a correção do commit `5c91dfc`. Se a atualização não for possível, desative a página especial fora da wiki global; consulte `miraheze/mw-config@e566499` para obter detalhes.

**Nome do software vulnerável e versões afetadas** CreateWiki (versões afetadas não especificadas) **Descrição** O problema diz respeito à extensão CreateWiki, usada para solicitar e criar wikis, na qual o nome dos wikis solicitados não é devidamente escapado na página Special:RequestWikiQueue. Isso permite que um usuário insira código HTML arbitrário, que pode ser exibido na fila de solicitações de wikis. Se um criador de wiki se deparar com a carga maliciosa, sua sessão de usuário pode ser explorada para recuperar solicitações de wiki excluídas contendo informações privadas. Da mesma forma, isso pode ser abusado para visualizar informações confidenciais por aqueles com a capacidade de suprimir solicitações. **Recomendações** Para resolver o problema, aplique o patch com o commit `693a220`. Como solução temporária, considere desativar o Javascript e/ou impedir o acesso à página vulnerável `Special:RequestWikiQueue` até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** MediaWiki - Cargo, versões 3.6.X a 3.6.0 **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) afeta o software, permitindo ataques de falsificação de solicitação entre sites. **Recomendações** Para as versões 3.6.X a 3.6.0, atualize para a versão 3.6.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** MediaWiki - Extensão CSS, versões 1.39.X a 1.39.8 MediaWiki - Extensão CSS, versões 1.41.X a 1.41.2 MediaWiki - Extensão CSS, versões 1.42.X a 1.42.1 **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de caminho, que permite a limitação inadequada de um nome de caminho a um diretório restrito. Essa vulnerabilidade existe na extensão CSS do MediaWiki da Fundação Wikimedia, permitindo o traversal de caminho. **Recomendações** Para as versões 1.39.X a 1.39.8, atualize para a versão 1.39.9 ou posterior. Para as versões 1.41.X a 1.41.2, atualize para a versão 1.41.3 ou posterior. Para as versões 1.42.X a 1.42.1, atualize para a versão 1.42.2 ou posterior.

**Nome do software vulnerável e versões afetadas** MediaWiki - Cargo, versões 3.6.X a 3.6.0 **Descrição** O problema afeta o Mediawiki - Cargo, permitindo Cross-Site Scripting (XSS). Isso se deve a uma vulnerabilidade relacionada à neutralização inadequada de entradas durante a geração de páginas da Web. **Recomendações** Para as versões 3.6.X a 3.6.0, atualize para a versão 3.6.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** MediaWiki - Extensão CSS, versões 1.39.X a 1.39.8 MediaWiki - Extensão CSS, versões 1.41.X a 1.41.2 MediaWiki - Extensão CSS, versões 1.42.X a 1.42.1 **Descrição** O problema está relacionado à codificação ou escape inadequados da saída, o que permite a injeção de código. Trata-se de uma vulnerabilidade de injeção de código na extensão CSS do Mediawiki. **Recomendações** Para as versões 1.39.X a 1.39.8, atualize para a versão 1.39.9 ou posterior. Para as versões 1.41.X a 1.41.2, atualize para a versão 1.41.3 ou posterior. Para as versões 1.42.X a 1.42.1, atualize para a versão 1.42.2 ou posterior.