Dylsss

Nome do Software Vulnerável e Versões Afetadas: Mediawiki - Extensão Wikibase Media Info versões 1.39 a 1.43 Descrição: O problema está relacionado à Validação de Entrada Imprópria, o que permite Cross-Site Scripting (XSS). Isso expõe os sistemas ao risco de XSS. Recomendações: Para as versões 1.39 a 1.43, atualize para uma versão que corrija o problema de Validação de Entrada Imprópria para prevenir ataques de Cross-Site Scripting (XSS). Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.37.1 **Descrição** Foi detectada uma falha no arquivo ImportPlanValidator.php da extensão FileImporter, na qual a verificação dos direitos de edição é processada incorretamente. **Recomendações** Para as versões do MediaWiki até a 1.37.1, considere desativar a extensão FileImporter até que um patch esteja disponível. Restrinja o acesso ao arquivo ImportPlanValidator.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões 1.37 e anteriores do MediaWiki Descrição: A vulnerabilidade permite ataques XSS nas descrições de itens do Wikibase, que são acionados ao acessar uma URL com o parâmetro `action=info`, também conhecida como barra lateral de informações da página. Recomendações: Para as versões 1.37 e anteriores do MediaWiki, atualize para uma versão que contenha uma correção para este problema. Como solução temporária, considere restringir o acesso à URL action=info até que um patch esteja disponível. Evite usar o recurso de descrições de itens do Wikibase nas versões afetadas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do MediaWiki até a 1.37 Descrição: A vulnerabilidade diz respeito a um problema em que o URI Special:ImportFile, também conhecido como FileImporter, no MediaWiki permite ataques de script entre sites (XSS). Isso é demonstrado por meio do parâmetro `clientUrl`. Recomendações: Para as versões do MediaWiki até a 1.37, como solução temporária, considere restringir o acesso ao URI Special:ImportFile até que um patch esteja disponível. Evite usar o parâmetro `clientUrl` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões 1.37 e anteriores do MediaWiki Descrição: A vulnerabilidade permite a ocorrência de XSS no Wikibase devido a uma propriedade de identificador externo que possui um formato de URL incluindo um marcador de substituição de formatação $1. Isso pode ser explorado utilizando o esquema de URL javascript:, entre outros. Recomendações: Para as versões 1.37 e anteriores do MediaWiki, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do MediaWiki anteriores à 1.38 Descrição: A falha permite que endereços IP bloqueados editem itens do EntitySchema. Trata-se de um problema no MediaWiki em que usuários bloqueados ainda podem fazer alterações em determinados itens. Recomendações: Para versões do MediaWiki anteriores à 1.38, atualize para a versão 1.38 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.35.5 Versões do MediaWiki 1.36.x anteriores à 1.36.3 Versões do MediaWiki 1.37.x anteriores à 1.37.1 **Descrição** Foi descoberta uma falha na API REST do MediaWiki, que armazena em cache publicamente resultados de wikis privadas, o que pode levar à divulgação de informações. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. **Recomendações** Para versões do MediaWiki anteriores à 1.35.5, atualize para a versão 1.35.5 ou posterior. Para versões do MediaWiki 1.36.x anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior. Para versões do MediaWiki 1.37.x anteriores à 1.37.1, atualize para a versão 1.37.1 ou posterior. Como solução temporária, considere desativar a API REST até que um patch esteja disponível. Restrinja o acesso a wikis privadas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do MediaWiki anteriores à 1.35.5 Versões do MediaWiki 1.36.x anteriores à 1.36.3 Versões do MediaWiki 1.37.x anteriores à 1.37.1 Descrição: Uma falha permite a visualização de páginas privadas em uma wiki privada com pelo menos uma página definida em `$wgWhitelistRead`, utilizando ações específicas em sequência, tais como `action=edit&undo=` seguido por `action=mcrundo` e `action=mcrrestore`. Recomendações: Para versões do MediaWiki anteriores à 1.35.5, atualize para a versão 1.35.5 ou posterior. Para versões do MediaWiki 1.36.x anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior. Para versões do MediaWiki 1.37.x anteriores à 1.37.1, atualize para a versão 1.37.1 ou posterior. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade `action=mcrundo` e `action=mcrrestore` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do MediaWiki anteriores à 1.35.5 Versões do MediaWiki 1.36.x anteriores à 1.36.3 Versões do MediaWiki 1.37.x anteriores à 1.37.1 Descrição: Foi descoberta uma falha no MediaWiki. Ao usar uma consulta `action=rollback`, invasores podem visualizar conteúdos privados da wiki. Recomendações: Para versões do MediaWiki anteriores à 1.35.5, atualize para a versão 1.35.5 ou posterior. Para versões do MediaWiki 1.36.x anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior. Para versões do MediaWiki 1.37.x anteriores à 1.37.1, atualize para a versão 1.37.1 ou posterior. Como solução temporária, considere restringir o acesso à consulta `action=rollback` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Versões do MediaWiki anteriores à 1.35.5 Versões do MediaWiki 1.36.x anteriores à 1.36.3 Versões do MediaWiki 1.37.x anteriores à 1.37.1 Descrição: Uma falha permite substituir o conteúdo de qualquer página arbitrária usando `action=mcrundo` seguido de `action=mcrrestore`, mesmo que o usuário não tenha direitos de edição para essa página. Essa falha afeta qualquer wiki pública ou privada com pelo menos uma página definida em `$wgWhitelistRead`. Recomendações: Para versões do MediaWiki anteriores à 1.35.5, atualize para a versão 1.35.5 ou posterior. Para versões do MediaWiki 1.36.x anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior. Para versões do MediaWiki 1.37.x anteriores à 1.37.1, atualize para a versão 1.37.1 ou posterior. Como solução temporária, considere restringir o acesso às ações `action=mcrundo` e `action=mcrrestore` até que um patch seja aplicado.