PT-2021-21126 · Mediawiki+1 · Mediawiki+1

Nikerabbit

·

Publicado

2021-06-12

·

Atualizado

2024-03-06

·

CVE-2021-36129

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
**Nome do software vulnerável e versões afetadas:
Versões do MediaWiki até a 1.36
Descrição:
Foi detectada uma falha na extensão Translate, na qual o módulo Aggregategroups Action API não valida o parâmetro aggregategroup quando action=remove está definido. Isso permite que usuários com o direito translate-manage excluam silenciosamente os metadados de vários grupos.
Recomendações:
Para versões do MediaWiki até a 1.36, como solução temporária, considere restringir o acesso ao módulo Aggregategroups Action API até que um patch esteja disponível. Evite usar o parâmetro aggregategroup no endpoint da API afetado quando action=remove estiver definido até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-732

Identificadores relacionados

ALT-PU-2021-1991
ALT-PU-2021-2091
BIT-MEDIAWIKI-2021-36129
CVE-2021-36129

Produtos afetados

Alt Linux
Mediawiki