Dreamy_Jazz

**Name of the Vulnerable Software and Affected Versions** MediaWiki - ReportIncident Extension versões 1.43.7, 1.44.4 e 1.45.2 **Description** A extensão ReportIncident no MediaWiki está suscetível a ataques de Negação de Serviço HTTP (DoS) devido à alocação irrestrita de recursos e à falta de limitação de taxa. Isso permite que um invasor esgote os recursos do servidor enviando um grande número de solicitações HTTP. **Recommendations** Atualize para uma versão mais recente da extensão ReportIncident que resolva o problema de alocação de recursos. Atualize para uma versão mais recente do MediaWiki que resolva o problema de alocação de recursos.

**Name of the Vulnerable Software and Affected Versions** Mediawiki - CheckUser Extension versions prior to 1.39 **Description** A flaw exists within the CheckUser Extension of Mediawiki that can lead to the exposure of sensitive information to unauthorized actors, specifically enabling footprinting. This issue impacts the Mediawiki - CheckUser Extension. **Recommendations** Update to a version newer than 1.39.

**Nome do Software Vulnerável e Versões Afetadas** Extensão GlobalBlocking do MediaWiki versões 1.43 e 1.44 **Descrição** A extensão GlobalBlocking do MediaWiki contém uma falha relacionada ao tratamento inadequado de entrada durante a geração de páginas web, podendo resultar em Cross-site Scripting (XSS) Armazenado. Este problema poderia permitir que um invasor injetasse scripts maliciosos em páginas web visualizadas por outros usuários. O componente afetado é a extensão GlobalBlocking. **Recomendações** Atualize a extensão GlobalBlocking do MediaWiki para uma versão corrigida.

**Nome do Software Vulnerável e Versões Afetadas** Wikimedia Foundation Mediawiki - Extensão CirrusSearch versões anteriores à 1.43 **Descrição** Existe uma falha na Extensão CirrusSearch da Wikimedia Foundation Mediawiki relacionada à alocação de recursos sem limites ou limitação de taxa, o que pode levar a um ataque de negação de serviço (DoS) via HTTP. **Recomendações** Atualize para a versão 1.43 ou posterior da Extensão Mediawiki - CirrusSearch.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão CheckUser versões 1.39.0 a 1.39.12 Mediawiki - Extensão CheckUser versões 1.42.0 a 1.42.6 Mediawiki - Extensão CheckUser versões 1.43.0 a 1.43.1 Descrição: O problema está relacionado à renderização de mensagens internacionalizadas específicas sem o escape adequado na aba de informações da conta da página Special:Investigate. Atacantes podem explorar isso adicionando ?uselang=x-xss à URL, causando XSS refletido quando a interface do usuário renderiza as chaves de mensagem afetadas. Recomendações: Para as versões 1.39.0 a 1.39.12, atualize para a versão 1.39.13 ou superior. Para as versões 1.42.0 a 1.42.6, atualize para a versão 1.42.7 ou superior. Para as versões 1.43.0 a 1.43.1, atualize para a versão 1.43.2 ou superior.

**Nome do Software Vulnerável e Versões Afetadas:** MediaWiki - Extensão CheckUser versões 1.39.X até 1.39.13 MediaWiki - Extensão CheckUser versões 1.42.X até 1.42.7 MediaWiki - Extensão CheckUser versões 1.43.X até 1.43.2 **Descrição:** A interface Special:CheckUser está suscetível a Cross-Site Scripting (XSS) Refletido via a mensagem `rev-deleted-user`. Esta mensagem é processada sem a devida sanitização, permitindo a injeção de código JavaScript através do mecanismo de substituição de idioma `uselang=x-xss`. **Recomendações:** MediaWiki - Extensão CheckUser versões 1.39.X até 1.39.13: Atualizar para a versão 1.39.14 ou posterior. MediaWiki - Extensão CheckUser versões 1.42.X até 1.42.7: Atualizar para a versão 1.42.8 ou posterior. MediaWiki - Extensão CheckUser versões 1.43.X até 1.43.2: Atualizar para a versão 1.43.3 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão AbuseFilter versões 1.39.0 até 1.39.12 Mediawiki - Extensão AbuseFilter versões 1.42.0 até 1.42.6 Mediawiki - Extensão AbuseFilter versões 1.43.0 até 1.43.1 Descrição: O problema está relacionado a uma vulnerabilidade de Autorização Ausente na Extensão AbuseFilter do Mediawiki, permitindo acesso não autorizado. Recomendações: Para as versões 1.39.0 até 1.39.12, atualize para a versão 1.39.13 ou superior. Para as versões 1.42.0 até 1.42.6, atualize para a versão 1.42.7 ou superior. Para as versões 1.43.0 até 1.43.1, atualize para a versão 1.43.2 ou superior.

Name of the Vulnerable Software and Affected Versions: Mediawiki - FlaggedRevs Extension versions 1.43.X through 1.43.1 Description: The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-Site Scripting (XSS). This allows for Cross-Site Scripting (XSS) in the Mediawiki - FlaggedRevs Extension. Recommendations: For versions 1.43.X through 1.43.1, update to version 1.43.2 or later to resolve the issue.

Nome do Software Vulnerável e Versões Afetadas: Versões do AbuseFilter de 1.43.0 a 1.43.0 Descrição: O problema está relacionado à exposição de informações sensíveis a um ator não autorizado. Afeta os arquivos do programa includes/Api/QueryAbuseLog.Php, includes/Pager/AbuseLogPager.Php, includes/Special/SpecialAbuseLog.Php, includes/View/AbuseFilterViewExamine.Php. Recomendações: Para a versão 1.43.0 do AbuseFilter, atualize para a versão 1.43.1 para resolver o problema. Como solução temporária, considere restringir o acesso aos arquivos do programa afetados até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões da extensão CheckUser do MediaWiki até a 1.42.1 **Descrição** Foi detectada uma falha na extensão CheckUser do MediaWiki. A API pode expor informações suprimidas de eventos de log, uma vez que o atributo `log deleted` não é aplicado às entradas. **Recomendações** Para versões até a 1.42.1, considere restringir o acesso à API até que um patch esteja disponível. Como solução temporária, evite usar a API para eventos de log a fim de minimizar o risco de expor informações suprimidas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da extensão CheckUser do MediaWiki até a 1.42.1 **Descrição** O recurso Special:Investigate pode expor informações suprimidas de eventos de log, uma vez que o TimelineService não oferece suporte à supressão adequada. **Recomendações** Para versões até 1.42.1, considere desativar o recurso Special:Investigate até que um patch esteja disponível para impedir a exposição de informações suprimidas. Restrinja o acesso ao TimelineService para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da extensão CheckUser do MediaWiki até a 1.42.1 **Descrição** Foi detectada uma falha na extensão CheckUser do MediaWiki. Ela pode expor informações suprimidas de eventos de log, uma vez que o atributo `log deleted` não é respeitado. **Recomendações** Para versões até a 1.42.1, considere atualizar para uma versão em que essa falha tenha sido corrigida, pois a versão atual pode expor informações confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.39.7 Versões do MediaWiki 1.40.x anteriores à 1.40.3 Versões do MediaWiki 1.41.x anteriores à 1.41.1 **Descrição** Um problema no arquivo `includes/specials/SpecialMovePage.php` do MediaWiki pode levar a uma negação de serviço. Se um usuário com os direitos necessários para mover uma página abrir `Special:MovePage` para uma página com dezenas de milhares de subpáginas, a página excederá o tempo máximo de solicitação, resultando em uma negação de serviço. **Recomendações** Para versões do MediaWiki anteriores à 1.39.7, atualize para a versão 1.39.7 ou posterior. Para versões do MediaWiki 1.40.x anteriores à 1.40.3, atualize para a versão 1.40.3 ou posterior. Para versões do MediaWiki 1.41.x anteriores à 1.41.1, atualize para a versão 1.41.1 ou posterior. Como solução temporária, considere restringir o acesso à página `Special:MovePage` para usuários com os direitos necessários para mover páginas, especialmente para páginas com um grande número de subpáginas.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.40.2 Versões da extensão GlobalBlocking anteriores à 1.40.2 **Descrição** O problema está relacionado à extensão GlobalBlocking no MediaWiki, onde a neutralização inadequada de entradas durante a criação de páginas da web pode levar a falhas de segurança. Um invasor pode explorar essa vulnerabilidade para realizar ataques de script entre sites (XSS). Especificamente, para um URI `Special:GlobalBlock?uselang=x-xss`, pode ocorrer um XSS baseado em i18n por meio da mensagem entre parênteses, afetando os links de subtítulos em `buildSubtitleLinks`. **Recomendações** Para versões do MediaWiki anteriores à 1.40.2, atualize para a versão 1.40.2 ou posterior para resolver o problema. Para a extensão GlobalBlocking, certifique-se de que ela esteja atualizada para uma versão compatível com o MediaWiki 1.40.2 ou posterior. Como solução temporária, considere restringir o acesso à página `Special:GlobalBlock` até que a atualização seja aplicada. Evite usar o parâmetro `uselang` com o valor `x-xss` na URI `Special:GlobalBlock` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.35.14 Versões do MediaWiki 1.36.x a 1.39.x anteriores à 1.39.6 Versões do MediaWiki 1.40.x anteriores à 1.40.2 **Descrição** Uma falha na extensão CheckUser permite que ocorra XSS por meio de definições de mensagens, por exemplo, no SpecialCheckUserLog. Isso pode permitir que um invasor remoto execute ataques de cross-site scripting. **Recomendações** Para versões anteriores à 1.35.14, atualize para a versão 1.35.14 ou posterior. Para as versões 1.36.x a 1.39.x, atualize para a versão 1.39.6 ou posterior. Para as versões 1.40.x, atualize para a versão 1.40.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** MediaWiki versions prior to 1.35.14 MediaWiki versions 1.36.x through 1.39.x before 1.39.6 MediaWiki versions 1.40.x before 1.40.2 **Description** The issue is related to improper input neutralization during web page creation, which can lead to cross-site scripting (XSS) attacks. This can be exploited by a remote attacker, allowing them to perform XSS attacks on Special:log/rights. The vulnerability is specifically related to group-*-member messages in the includes/logging/RightsLogFormatter.php file. **Recommendations** For MediaWiki versions prior to 1.35.14, update to version 1.35.14 or later. For MediaWiki versions 1.36.x through 1.39.x before 1.39.6, update to version 1.39.6 or later. For MediaWiki versions 1.40.x before 1.40.2, update to version 1.40.2 or later. As a temporary workaround, consider restricting access to the Special:log/rights page until a patch is available.

**Name of the Vulnerable Software and Affected Versions** MediaWiki CheckUser extension versions through 1.39.3 **Description** An issue was discovered in the "CheckUserLog API" in the CheckUser extension for MediaWiki. There is incorrect access control for visibility of hidden users. **Recommendations** For MediaWiki CheckUser extension versions through 1.39.3, update to a version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** CheckUser extension for MediaWiki versions through 1.39.3 **Description** An issue in the CheckUser extension for MediaWiki allows HTML injection through the User-Agent HTTP request header in Special:CheckUser when performing a "get edits" type check. **Recommendations** For CheckUser extension for MediaWiki versions through 1.39.3, consider disabling the "get edits" type check in Special:CheckUser until a patch is available to prevent HTML injection through the User-Agent HTTP request header.

**Name of the Vulnerable Software and Affected Versions** MediaWiki CheckUser extension versions through 1.39.x **Description** An issue in the CheckUser extension for MediaWiki exposes information on the performer of edits and logged actions, which should only be viewable by users with suppression or checkuser rights. **Recommendations** For MediaWiki CheckUser extension versions through 1.39.x, restrict access to components that expose sensitive information to users with suppression or checkuser rights until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.