PT-2020-16299 · Mediawiki+2 · Mediawiki Mobilefrontend Extension+2
Paser24
·
Publicado
2020-09-27
·
Atualizado
2024-03-06
·
CVE-2020-26120
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões da extensão MediaWiki MobileFrontend anteriores à 1.34.4
Descrição
A vulnerabilidade ocorre devido ao tratamento incorreto de
section.line durante a substituição de linhas de seção por expressões regulares (regex) a partir do PageGateway. Um invasor pode explorar essa falha usando HTML malicioso para provocar um ataque XSS por meio do método parseHTML do jQuery. Isso pode fazer com que callbacks de imagem sejam acionados mesmo sem que o elemento seja anexado ao DOM.Recomendações
Para versões anteriores à 1.34.4, atualize para a versão 1.34.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do método
parseHTML do jQuery até que um patch seja aplicado.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Mediawiki Mobilefrontend Extension
Jquery