PT-2020-6807 · Mediawiki+1 · Mediawiki+1
Tim Starling
+1
·
Publicado
2020-06-24
·
Atualizado
2024-03-06
·
CVE-2020-15005
CVSS v3.1
3.1
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do MediaWiki anteriores à 1.31.8
Versões do MediaWiki 1.32.x
Versões do MediaWiki 1.33.x anteriores à 1.33.4
Versões do MediaWiki 1.34.x anteriores à 1.34.2
Descrição
O problema diz respeito a wikis privadas atrás de um servidor de cache que utilizam o recurso de segurança de autorização de imagens img auth.php. Devido ao tratamento incorreto dos cabeçalhos Cache-Control e Vary, os arquivos podem ter sido armazenados em cache publicamente, permitindo que qualquer usuário não autorizado os visualize. Isso resulta na possível divulgação de informações protegidas.
Recomendações
Para versões do MediaWiki anteriores à 1.31.8, atualize para a versão 1.31.8 ou posterior.
Para versões do MediaWiki 1.32.x, atualize para a versão 1.33.4 ou posterior, ou aplique os patches necessários.
Para versões do MediaWiki 1.33.x anteriores à 1.33.4, atualize para a versão 1.33.4 ou posterior.
Para versões do MediaWiki 1.34.x anteriores à 1.34.2, atualize para a versão 1.34.2 ou posterior.
Como solução temporária, considere restringir o acesso ao recurso img auth.php até que um patch seja aplicado.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Mediawiki