PT-2021-23414 · Mediawiki+1 · Replacetext Extension+1

Thevoidwalker

·

Publicado

2019-03-03

·

Atualizado

2024-03-06

·

CVE-2021-41801

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Extensão ReplaceText, versões 1.41 e anteriores, para MediaWiki
Descrição
O problema diz respeito a um controle de acesso incorreto na extensão ReplaceText para MediaWiki. Quando um usuário é bloqueado após enviar uma tarefa de substituição, a tarefa ainda é executada, mesmo que isso ocorra posteriormente devido ao acúmulo na fila de tarefas.
Recomendações
Para as versões 1.41 e anteriores da extensão ReplaceText, considere desativar a funcionalidade de tarefas de substituição para usuários bloqueados até que um patch esteja disponível. Restrinja o acesso à fila de tarefas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

ALT-PU-2019-1337
ALT-PU-2021-3561
ALT-PU-2022-1199
BIT-MEDIAWIKI-2021-41801
CVE-2021-41801
DSA-4979-1
MGASA-2021-0477

Produtos afetados

Alt Linux
Replacetext Extension