PT-2024-2680 · Unknown+3 · Phonos Extension+3
Daimona
·
Publicado
2024-01-12
·
Atualizado
2025-06-19
·
CVE-2024-23178
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do MediaWiki anteriores à 1.40.2
Extensão Phonos nas versões do MediaWiki anteriores à 1.40.2
Descrição
O problema existe devido à falta de proteção da estrutura da página web na extensão Phonos do MediaWiki. Isso permite que um invasor remoto execute ataques de cross-site scripting (XSS) por meio da mensagem
phonos-purge-needed-error. A vulnerabilidade está relacionada ao arquivo PhonosButton.js, que possibilita ataques XSS baseados em i18n.Recomendações
Para versões do MediaWiki anteriores à 1.40.2, atualize para a versão 1.40.2 ou posterior para resolver o problema.
Como solução temporária, considere desativar o arquivo
PhonosButton.js até que um patch esteja disponível.Restrinja o acesso à mensagem
phonos-purge-needed-error para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Mediawiki
Phonos Extension
Red Os