PT-2022-19902 · Mediawiki+1 · Mediawiki Private Domains Extension+1

Ashley

·

Publicado

2022-04-29

·

Atualizado

2024-08-20

·

CVE-2022-29903

CVSS v2.0

4.3

Média

VetorAV:N/AC:M/Au:N/C:N/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões da extensão MediaWiki Private Domains até a 1.37.2
Descrição
A vulnerabilidade permite ataques de falsificação de solicitação entre sites (CSRF), possibilitando que um invasor edite páginas que armazenam a configuração da extensão. Isso pode ser feito acionando uma solicitação POST para o endpoint “Special:PrivateDomains”.
Recomendações
Para as versões da extensão MediaWiki Private Domains até a 1.37.2, atualize para uma versão que inclua a correção, especificamente após o commit 1ad65d4c1c199b375ea80988d99ab51ae068f766. Como solução temporária, considere restringir o acesso ao endpoint “Special:PrivateDomains” para minimizar o risco de exploração.

Exploit

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

ALT-PU-2022-3361
ALT-PU-2024-11168
ALT-PU-2024-1228
BIT-MEDIAWIKI-2022-29903
CVE-2022-29903

Produtos afetados

Alt Linux
Mediawiki Private Domains Extension