PT-2021-6527 · Mediawiki+1 · Mediawiki+1
Legoktm
·
Publicado
2021-06-27
·
Atualizado
2024-03-06
·
CVE-2021-35197
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões 1.31.15 e anteriores do MediaWiki
Versões 1.32.x a 1.35.x do MediaWiki, anteriores à 1.35.3
Versões 1.36.x do MediaWiki, anteriores à 1.36.1
Descrição
O problema diz respeito ao acesso não intencional à API por bots no MediaWiki. Quando uma conta de bot tem um “bloqueio em todo o site” aplicado, ela ainda pode “limpar” páginas por meio da API de Ação do MediaWiki, o que deveria ter sido impedido pelo bloqueio. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados.
Recomendações
Para as versões 1.31.15 e anteriores do MediaWiki, atualize para a versão 1.31.15 ou posterior.
Para as versões 1.32.x a 1.35.x anteriores à 1.35.3 do MediaWiki, atualize para a versão 1.35.3 ou posterior.
Para versões do MediaWiki 1.36.x anteriores à 1.36.1, atualize para a versão 1.36.1 ou posterior.
Como solução temporária, considere restringir o acesso à API de Ações do MediaWiki para contas de bots com um “bloqueio em todo o site” aplicado.
Exploit
Correção
Incorrect Authorization
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Mediawiki