PT-2022-22180 · Mediawiki · Mediawiki
Publicado
2022-06-25
·
Atualizado
2022-06-28
·
CVE-2022-34491
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do MediaWiki anteriores à 1.38.2
Descrição
A vulnerabilidade diz respeito a um XSS armazenado que pode ocorrer por meio do sistema de modelos do MediaWiki. Isso acontece quando um novo feed RSS com determinadas cargas de XSS dentro de suas tags de descrição é criado e adicionado à variável de configuração $wgRSSUrlWhitelist, e a variável de configuração $wgRSSAllowLinkTag está definida como true. A exploração dessa vulnerabilidade é possível sempre que o feed é carregado por meio da tag de documento rss.
Recomendações
Para versões do MediaWiki anteriores à 1.38.2, atualize para a versão 1.38.2 ou posterior para resolver o problema. Como solução temporária, considere definir a variável de configuração $wgRSSAllowLinkTag como false para minimizar o risco de exploração. Restrinja o acesso à tag de documento rss para minimizar o risco de XSS armazenado.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mediawiki