Daimona

Name of the Vulnerable Software and Affected Versions Mediawiki - CampaignEvents Extension versões 1.43.7, 1.44.4 e 1.45.2 Description A Wikimedia Foundation Mediawiki - CampaignEvents Extension é suscetível a um problema de scripting cross-site (XSS) devido à neutralização inadequada de entrada durante a geração de páginas web. Isso permite a injeção de scripts maliciosos em páginas web visualizadas por outros usuários. Recommendations Atualize para uma versão mais recente do Mediawiki - CampaignEvents Extension que resolva este problema. Como medida temporária, sanitize cuidadosamente todas as entradas fornecidas pelo usuário antes de renderizá-las em páginas web.

**Name of the Vulnerable Software and Affected Versions** MediaWiki - CampaignEvents extension versions 1.39 through 1.45 **Description** A missing authorization flaw exists in the Wikimedia Foundation MediaWiki - CampaignEvents extension, potentially allowing privilege abuse. The issue relates to the CampaignEvents API, where missing authorization could expose meeting and chat URLs. **Recommendations** Update to a version later than 1.45. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão CampaignEvents versões 1.43.X até 1.43.1 Descrição: O problema afeta a Extensão CampaignEvents do Mediawiki, permitindo Cross-Site Scripting (XSS) devido à neutralização inadequada de entrada durante a geração da página web. Recomendações: Para a Extensão CampaignEvents do Mediawiki versões 1.43.X até 1.43.1, atualize para a versão 1.43.2 ou posterior para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: Versões do MediaWiki anteriores à 1.39.12 Versões do MediaWiki anteriores à 1.42.6 Versões do MediaWiki anteriores à 1.43.1 Descrição: O problema está relacionado a uma Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting (XSS). Isso afeta arquivos do programa, especificamente includes/htmlform/fields/HTMLMultiSelectField.php. Recomendações: Para versões anteriores à 1.39.12, atualize para a versão 1.39.12 ou posterior. Para versões anteriores à 1.42.6, atualize para a versão 1.42.6 ou posterior. Para versões anteriores à 1.43.1, atualize para a versão 1.43.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.35.14 Versões do MediaWiki 1.36.x a 1.39.x anteriores à 1.39.6 Versões do MediaWiki 1.40.x anteriores à 1.40.2 **Descrição** O problema está relacionado à extensão CampaignEvents no MediaWiki, que está associada à neutralização inadequada de entradas durante a criação de páginas da web. Isso pode permitir que um invasor remoto execute ataques de script entre sites (XSS). A página Special:EventDetails está vulnerável a XSS por meio da configuração de idioma x-xss para internacionalização. **Recomendações** Para versões do MediaWiki anteriores à 1.35.14, atualize para a versão 1.35.14 ou posterior. Para versões do MediaWiki 1.36.x a 1.39.x anteriores à 1.39.6, atualize para a versão 1.39.6 ou posterior. Para versões do MediaWiki 1.40.x anteriores à 1.40.2, atualize para a versão 1.40.2 ou posterior. Como solução temporária, considere restringir o acesso à página Special:EventDetails até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.40.2 Extensão Phonos nas versões do MediaWiki anteriores à 1.40.2 **Descrição** O problema existe devido à falta de proteção da estrutura da página web na extensão Phonos do MediaWiki. Isso permite que um invasor remoto execute ataques de cross-site scripting (XSS) por meio da mensagem `phonos-purge-needed-error`. A vulnerabilidade está relacionada ao arquivo `PhonosButton.js`, que possibilita ataques XSS baseados em i18n. **Recomendações** Para versões do MediaWiki anteriores à 1.40.2, atualize para a versão 1.40.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o arquivo `PhonosButton.js` até que um patch esteja disponível. Restrinja o acesso à mensagem `phonos-purge-needed-error` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** MediaWiki versions prior to 1.35.11 MediaWiki versions 1.36.x through 1.38.x before 1.38.7 MediaWiki versions 1.39.x before 1.39.4 MediaWiki versions 1.40.x before 1.40.1 **Description** The issue is related to a possibility of using XSS in the partial blocks feature of MediaWiki. This could allow a remote attacker to perform cross-site scripting attacks. The vulnerability is located in the BlockLogFormatter.php file within the BlockLogFormatter. **Recommendations** For MediaWiki versions prior to 1.35.11, update to version 1.35.11 or later. For MediaWiki versions 1.36.x through 1.38.x before 1.38.7, update to version 1.38.7 or later. For MediaWiki versions 1.39.x before 1.39.4, update to version 1.39.4 or later. For MediaWiki versions 1.40.x before 1.40.1, update to version 1.40.1 or later. As a temporary workaround, consider disabling the partial blocks feature until a patch is available.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.37.3 Versões do MediaWiki 1.38.x anteriores à 1.38.1 **Descrição** Foi detectada uma falha em que o atributo `contributions-title`, utilizado na página Special:Contributions, é usado como título da página sem ser escapado. Isso pode causar problemas em configurações não padrão nas quais um nome de usuário contém entidades HTML, pois elas não serão escapadas. **Recomendações** Para versões do MediaWiki anteriores à 1.37.3, atualize para a versão 1.37.3 ou posterior. Para versões do MediaWiki 1.38.x anteriores à 1.38.1, atualize para a versão 1.38.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.35.2 Extensão AbuseFilter para versões do MediaWiki até a 1.35.2 **Descrição** Um problema na extensão AbuseFilter para o MediaWiki tratava incorretamente os bloqueios de contas para certas contas de usuário do MediaWiki criadas automaticamente. Isso permitia que usuários mal-intencionados permanecessem desbloqueados. **Recomendações** Para versões do MediaWiki até a 1.35.2, atualize para uma versão que inclua uma correção para o problema na extensão AbuseFilter. Para a extensão AbuseFilter para versões do MediaWiki até a 1.35.2, atualize a extensão para uma versão que lide adequadamente com bloqueios de contas para contas de usuário criadas automaticamente.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.35.2 Extensão AbuseFilter para MediaWiki até a versão 1.35.2 **Descrição** Uma falha na extensão AbuseFilter para MediaWiki permite a divulgação de nomes de usuário ocultos do MediaWiki a usuários sem privilégios por meio do formulário Special:AbuseFilter/examine. **Recomendações** Para versões do MediaWiki até a 1.35.2, atualize para uma versão que contenha uma correção para este problema. Para a extensão AbuseFilter, restrinja o acesso ao formulário Special:AbuseFilter/examine até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.35.2 **Descrição** Foi detectada uma falha na extensão AbuseFilter do MediaWiki, permitindo que um usuário do MediaWiki que esteja parcialmente bloqueado ou cujo bloqueio não tenha sido bem-sucedido contorne o AbuseFilter e conclua suas edições. **Recomendações** Para versões até a 1.35.2, atualize para uma versão que contenha uma correção para este problema, a fim de impedir que os usuários contornem o AbuseFilter.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.35.1 Extensão GlobalUsage para versões do MediaWiki até a 1.35.1 **Descrição** Foi descoberta uma falha na extensão GlobalUsage para o MediaWiki. O arquivo `SpecialGlobalUsage.php` chama `WikiMap::makeForeignLink` de forma insegura. A variável `$page` dentro da função `formatItem` não estava sendo escapada corretamente, permitindo XSS sob certas condições. **Recomendações** Para versões do MediaWiki até a 1.35.1, atualize para uma versão que escape corretamente a variável `$page` dentro da função `formatItem` para evitar XSS. Para a extensão GlobalUsage, certifique-se de que a função `WikiMap::makeForeignLink` seja chamada de forma segura e que a variável `$page` seja escapada corretamente para mitigar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.35 **Descrição** A vulnerabilidade permite um ataque XSS por meio de uma mensagem qbfind inserida por um administrador no tema CologneBlue. Isso pode ser explorado quando um administrador insere uma mensagem qbfind maliciosa. **Recomendações** Para versões até a 1.35, atualize para uma versão que contenha uma correção para este problema, a fim de impedir a exploração de XSS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.