PT-2022-5002 · Mediawiki+1 · Mediawiki+1
Aidilarf28
·
Publicado
2021-12-19
·
Atualizado
2024-03-06
·
CVE-2021-44855
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do MediaWiki 1.35.5 e anteriores, 1.36.x anteriores à 1.36.3, 1.37.x anteriores à 1.37.1
Descrição
O problema está relacionado a um ataque XSS armazenado cego (Blind Stored XSS) por meio de uma URL direcionada ao recurso de upload de imagens. Isso poderia permitir que um invasor remoto realizasse um ataque de cross-site scripting (XSS). A vulnerabilidade existe devido à proteção inadequada da estrutura da página da web no componente VisualEditor do MediaWiki.
Recomendações
Para as versões 1.35.5 e anteriores do MediaWiki, atualize para a versão 1.35.5 ou posterior.
Para versões do MediaWiki 1.36.x anteriores à 1.36.3, atualize para a versão 1.36.3 ou posterior.
Para versões do MediaWiki 1.37.x anteriores à 1.37.1, atualize para a versão 1.37.1 ou posterior.
Como solução temporária, considere restringir o acesso ao recurso “Carregar imagem” até que um patch seja aplicado.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Mediawiki