Orangestar

**Nome do software vulnerável e versões afetadas** CreateWiki (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que usuários sejam considerados como os solicitantes de uma solicitação específica de wiki se o seu ID de usuário local em qualquer wiki de um conjunto de wikis corresponder ao ID local do solicitante na wiki onde a solicitação foi feita. Isso permite que eles realizem ações permitidas ao solicitante da wiki na página Special:RequestWikiQueue. O problema foi corrigido desativando o acesso à API REST e às páginas especiais fora da wiki configurada como “wiki global” em $wgCreateWikiGlobalWiki. **Recomendações** Como solução temporária, considere desativar as páginas especiais fora do seu próprio wiki global, adaptando as alterações semelhantes ao commit e5664995fbb8644f9a80b450b4326194f20f9ddc do miraheze/mw-config à sua própria configuração. Desative a API REST fora do wiki global usando $wgCreateWikiDisableRESTAPI e $wgConf na configuração do seu próprio conjunto de wikis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do CreateWiki anteriores a 23415c17ffb4832667c06abcf1eadadefd4c8937 **Descrição** O problema afeta o CreateWiki, uma extensão do MediaWiki usada para solicitar e criar wikis no Miraheze. Usuários com direitos específicos, como `delete` ou `suppressrevision`, em qualquer wiki do conjunto podem acessar solicitações de wiki suprimidas visitando a entrada da solicitação em Special:RequestWikiQueue na wiki onde possuem esses direitos. A vulnerabilidade esteve presente por um breve período na API REST, mas foi rapidamente corrigida. **Recomendações** Para versões anteriores a 23415c17ffb4832667c06abcf1eadadefd4c8937, atualize para uma versão que inclua a correção para resolver o problema. Como solução temporária, considere restringir o acesso à página Special:RequestWikiQueue para usuários com direitos `delete` ou `suppressrevision` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** CreateWiki (versões afetadas não especificadas) **Descrição** O problema afeta o CreateWiki, a extensão MediaWiki do Miraheze para solicitar e criar wikis. A supressão de solicitações de wiki não funciona como previsto, restringindo sempre a visibilidade apenas aos usuários com o direito de usuário `(createwiki)`, independentemente das configurações definidas em uma determinada solicitação de wiki. Isso pode expor informações a usuários que não deveriam ter acesso a elas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.