CVE-2024-34701

CreateWiki (versões afetadas não especificadas)

A vulnerabilidade permite que usuários sejam considerados como os solicitantes de uma solicitação específica de wiki se o seu ID de usuário local em qualquer wiki de um conjunto de wikis corresponder ao ID local do solicitante na wiki onde a solicitação foi feita. Isso permite que eles realizem ações permitidas ao solicitante da wiki na página Special:RequestWikiQueue. O problema foi corrigido desativando o acesso à API REST e às páginas especiais fora da wiki configurada como “wiki global” em $wgCreateWikiGlobalWiki.

Como solução temporária, considere desativar as páginas especiais fora do seu próprio wiki global, adaptando as alterações semelhantes ao commit e5664995fbb8644f9a80b450b4326194f20f9ddc do miraheze/mw-config à sua própria configuração.

Desative a API REST fora do wiki global usando $wgCreateWikiDisableRESTAPI e $wgConf na configuração do seu próprio conjunto de wikis.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.