PT-2020-20624 · Mediawiki+1 · Widgets Extension+1

Alexia

Publicado

2020-02-24

Atualizado

2021-07-21

CVE-2020-9382

CVSS v2.0

5.5

Média

Vetor

AV:N/AC:L/Au:S/C:P/I:P/A:N

Nome do software vulnerável e versões afetadas

Extensão Widgets, versões 1.4.0 e anteriores

Descrição

Foi detectada uma falha na extensão Widgets para o MediaWiki, na qual a sanitização inadequada de títulos permitia a execução de qualquer página wiki como um widget por meio da função de análise {{#widget:}} do MediaWiki.

Recomendações

Para as versões 1.4.0 e anteriores, considere desativar a função de análise {{#widget:}} até que um patch esteja disponível para impedir a execução de páginas wiki arbitrárias como widgets. Restrinja o acesso à extensão Widgets para minimizar o risco de exploração.

Exploit

Correção

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

ALT-PU-2021-2069

ALT-PU-2021-2092

CVE-2020-9382

Produtos afetados

Alt Linux

Widgets Extension

PT-2020-20624 · Mediawiki+1 · Widgets Extension+1

CVE-2020-9382

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5