Zabe

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.35.5 Versões do MediaWiki 1.36.x anteriores à 1.36.3 Versões do MediaWiki 1.37.x anteriores à 1.37.1 **Descrição** Uma falha no MediaWiki permite XSS devido a um tratamento incorreto de datas em Special:CheckUserLog, conforme demonstrado por uma carga XSS em MediaWiki:October. **Recomendações** Para versões do MediaWiki anteriores à 1.35.5, atualize para a versão 1.35.5 ou posterior. Para versões do MediaWiki 1.36.x anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior. Para versões do MediaWiki 1.37.x anteriores à 1.37.1, atualize para a versão 1.37.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.36.3 **Descrição** Foi detectada uma falha no CentralAuth do MediaWiki, na qual a mensagem “rightsnone” do MediaWiki não estava sendo devidamente sanitizada. Isso permitia a injeção e execução de HTML e JavaScript por meio do log de alterações de configurações. **Recomendações** Para versões anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao log setchange para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.36.2 **Descrição** A vulnerabilidade permite ataques XSS devido ao fato de mensagens do MediaWiki relacionadas ao mês não serem escapadas antes de serem utilizadas na página de resultados Special:Search. **Recomendações** Para versões anteriores à 1.36.2, atualize para a versão 1.36.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do MediaWiki até a 1.36 Descrição: Foi detectada uma falha na extensão CentralAuth, na qual a página Special:GlobalUserRights apresentava resultados de pesquisa diferentes para um usuário do MediaWiki ocultado em comparação com outros usuários, revelando assim facilmente contas ocultadas. Essas contas deveriam estar completamente ocultas. Recomendações: Para as versões do MediaWiki até a 1.36, atualize para uma versão que corrija esse problema, a fim de evitar a divulgação de contas suprimidas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.