PT-2024-2681 · Unknown+3 · Globalblocking Extension+3
Dreamy_Jazz
·
Publicado
2024-01-12
·
Atualizado
2025-06-19
·
CVE-2024-23179
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do MediaWiki anteriores à 1.40.2
Versões da extensão GlobalBlocking anteriores à 1.40.2
Descrição
O problema está relacionado à extensão GlobalBlocking no MediaWiki, onde a neutralização inadequada de entradas durante a criação de páginas da web pode levar a falhas de segurança. Um invasor pode explorar essa vulnerabilidade para realizar ataques de script entre sites (XSS). Especificamente, para um URI
Special:GlobalBlock?uselang=x-xss, pode ocorrer um XSS baseado em i18n por meio da mensagem entre parênteses, afetando os links de subtítulos em buildSubtitleLinks.Recomendações
Para versões do MediaWiki anteriores à 1.40.2, atualize para a versão 1.40.2 ou posterior para resolver o problema.
Para a extensão GlobalBlocking, certifique-se de que ela esteja atualizada para uma versão compatível com o MediaWiki 1.40.2 ou posterior.
Como solução temporária, considere restringir o acesso à página
Special:GlobalBlock até que a atualização seja aplicada.Evite usar o parâmetro
uselang com o valor x-xss na URI Special:GlobalBlock até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Globalblocking Extension
Mediawiki
Red Os