Dannys712

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.36.3 **Descrição** Foi detectada uma falha na extensão GlobalWatchlist, na qual as mensagens `rev-deleted-user` e `ntimes` não eram escapadas corretamente, permitindo que usuários injetassem código HTML e JavaScript. **Recomendações** Para versões anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior para resolver o problema. Como solução temporária, considere desativar a extensão GlobalWatchlist até que um patch esteja disponível. Restrinja o acesso às mensagens rev-deleted-user e ntimes para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do MediaWiki anteriores à 1.37 Descrição: Foi detectada uma falha na extensão AbuseFilter. Se a mensagem `MediaWiki:Abusefilter-blocker` for inválida no idioma do conteúdo, o filtro recorre à versão em inglês; no entanto, essa versão em inglês também pode ser inválida em uma wiki. Isso resultaria em um erro fatal e poderia impedir o bloqueio ou a restrição de um usuário potencialmente mal-intencionado. Recomendações: Para versões do MediaWiki anteriores à 1.37, atualize para uma versão que inclua a correção para este problema, a fim de evitar possíveis erros fatais e garantir o bloqueio ou a restrição adequados de usuários potencialmente mal-intencionados.

**Name of the Vulnerable Software and Affected Versions** MediaWiki versions 1.31 through 1.31.12 MediaWiki versions 1.32.x through 1.35.1 **Description** An issue was discovered in the VisualEditor extension. When using VisualEditor to edit a MediaWiki user page belonging to an existing, but hidden, user, VisualEditor will disclose that the user exists. This is related to `ApiVisualEditor`. **Recommendations** For MediaWiki versions 1.31 through 1.31.12, update to version 1.31.13 or later. For MediaWiki versions 1.32.x through 1.35.1, update to version 1.35.2 or later. As a temporary workaround, consider restricting access to the `ApiVisualEditor` until a patch is available.

**Nome do software vulnerável e versões afetadas** Versões da extensão MediaWiki CentralAuth até a REL1 34 **Descrição** A vulnerabilidade permite que invasores remotos obtenham informações confidenciais e ocultas de contas. Isso pode ser feito por meio da solicitação “api.php?action=query&meta=globaluserinfo&guiuser=”, acessível através da API de ação. Normalmente, o acesso a essas informações seria negado ao visitar a página wiki/Special:CentralAuth em um navegador da web. **Recomendações** Para versões até REL1 34, considere desativar o acesso ao endpoint “api.php?action=query&meta=globaluserinfo&guiuser=” até que um patch esteja disponível. Restrinja o acesso a informações confidenciais de contas para minimizar o risco de exploração.