Legoktm

Name of the Vulnerable Software and Affected Versions: Mediawiki - FeaturedFeeds Extension versions 1.39.X through 1.43.X Description: The issue is related to an Improper Input Validation vulnerability that allows Cross-Site Scripting (XSS) in the Mediawiki - FeaturedFeeds Extension. Recommendations: For versions 1.39.X through 1.43.X, consider disabling the FeaturedFeeds Extension until a patch is available to prevent potential Cross-Site Scripting (XSS) attacks.

**Nome do software vulnerável e versões afetadas** Freedom of the Press SecureDrop (versões afetadas não especificadas) **Descrição** Foi identificada uma falha crítica no Freedom of the Press SecureDrop, afetando alguma funcionalidade desconhecida do arquivo gpg-agent.conf. A exploração dessa falha leva ao rastreamento de links simbólicos e requer acesso local para que o ataque seja executado. **Recomendações** Para corrigir esta falha, recomenda-se aplicar um patch. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Mailman Core versions prior to 3.3.5 **Description** An issue was discovered that allows an attacker with access to the REST API to use timing attacks to determine the value of the configured REST API password and then make arbitrary REST API calls. The REST API is bound to localhost by default, limiting the ability for attackers to exploit this, but can optionally be made to listen on other interfaces. **Recommendations** For Mailman Core versions prior to 3.3.5, update to version 3.3.5 or later to resolve the issue. As a temporary workaround, consider restricting access to the REST API to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.35.6 Versões do MediaWiki 1.36.x anteriores à 1.36.4 Versões do MediaWiki 1.37.x anteriores à 1.37.2 **Descrição** Foi descoberta uma falha no MediaWiki em que usuários com a permissão `editinterface` podem provocar recursão infinita. Isso ocorre porque um interwiki local simples é tratado incorretamente na mensagem `mainpage`. **Recomendações** Para versões do MediaWiki anteriores à 1.35.6, atualize para a versão 1.35.6 ou posterior. Para versões do MediaWiki 1.36.x anteriores à 1.36.4, atualize para a versão 1.36.4 ou posterior. Para versões do MediaWiki 1.37.x anteriores à 1.37.2, atualize para a versão 1.37.2 ou posterior. Como solução temporária, considere restringir a permissão `editinterface` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 1.31.15 e anteriores do MediaWiki Versões 1.32.x a 1.35.x do MediaWiki, anteriores à 1.35.3 Versões 1.36.x do MediaWiki, anteriores à 1.36.1 **Descrição** O problema diz respeito ao acesso não intencional à API por bots no MediaWiki. Quando uma conta de bot tem um “bloqueio em todo o site” aplicado, ela ainda pode “limpar” páginas por meio da API de Ação do MediaWiki, o que deveria ter sido impedido pelo bloqueio. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados. **Recomendações** Para as versões 1.31.15 e anteriores do MediaWiki, atualize para a versão 1.31.15 ou posterior. Para as versões 1.32.x a 1.35.x anteriores à 1.35.3 do MediaWiki, atualize para a versão 1.35.3 ou posterior. Para versões do MediaWiki 1.36.x anteriores à 1.36.1, atualize para a versão 1.36.1 ou posterior. Como solução temporária, considere restringir o acesso à API de Ações do MediaWiki para contas de bots com um “bloqueio em todo o site” aplicado.

**Name of the Vulnerable Software and Affected Versions** MediaWiki version 1.31 **Description** The issue arises from missing .htaccess files in the provided tarball for MediaWiki, which are used to protect certain directories from being web accessible. **Recommendations** For MediaWiki version 1.31, update to version 1.31.1 to include the necessary .htaccess files and protect the directories as intended.

**Name of the Vulnerable Software and Affected Versions** Mediawiki versions prior to 1.28.1 Mediawiki versions prior to 1.27.2 Mediawiki versions prior to 1.23.16 **Description** The issue concerns a flaw in the "Mark all pages visited" feature on the watchlist, which does not require a CSRF token. **Recommendations** For versions prior to 1.28.1, update to version 1.28.1 or later. For versions prior to 1.27.2, update to version 1.27.2 or later. For versions prior to 1.23.16, update to version 1.23.16 or later.

**Name of the Vulnerable Software and Affected Versions** MediaWiki versions prior to 1.23.15 MediaWiki versions 1.26.x prior to 1.26.4 MediaWiki versions 1.27.x prior to 1.27.1 **Description** A cross-site scripting (XSS) issue exists due to the replacement of percent encoding in unclosed internal links, allowing remote attackers to inject arbitrary web script or HTML. **Recommendations** For versions prior to 1.23.15, update to version 1.23.15 or later. For versions 1.26.x prior to 1.26.4, update to version 1.26.4 or later. For versions 1.27.x prior to 1.27.1, update to version 1.27.1 or later.

**Name of the Vulnerable Software and Affected Versions** MediWiki Echo extension (affected versions not specified) **Description** The issue concerns the Echo extension for MediWiki, which fails to properly implement the hideuser functionality. This allows remote authenticated users to view hidden usernames in certain notifications, such as Thanks notifications, that are not based on revisions. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** MediaWiki versions prior to 1.19.20 MediaWiki versions 1.22.x prior to 1.22.12 MediaWiki versions 1.23.x prior to 1.23.5 **Description** The issue affects the Special:Preferences and Special:UserLogin pages in MediaWiki, allowing remote authenticated users to conduct cross-site scripting (XSS) attacks via crafted CSS. This can be demonstrated by modifying MediaWiki:Common.css, which can lead to unspecified other impact. **Recommendations** For MediaWiki versions prior to 1.19.20, update to version 1.19.20 or later. For MediaWiki versions 1.22.x prior to 1.22.12, update to version 1.22.12 or later. For MediaWiki versions 1.23.x prior to 1.23.5, update to version 1.23.5 or later.