PT-2024-3256 · Mediawiki+2 · Mediawiki+2
Bawolff
·
Publicado
2024-01-22
·
Atualizado
2025-06-19
·
CVE-2024-34507
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do MediaWiki anteriores à 1.39.7
Versões do MediaWiki 1.40.x anteriores à 1.40.3
Versões do MediaWiki 1.41.x anteriores à 1.41.1
Descrição
O problema está relacionado à neutralização incorreta de entradas durante a criação de páginas da web no arquivo includes/CommentFormatter/CommentParser.php do MediaWiki. Isso pode permitir que um invasor remoto execute ataques de cross-site scripting (XSS). A vulnerabilidade é causada pelo tratamento incorreto do caractere 0x1b. Um exemplo da exploração é demonstrado pelo endpoint
Special:RecentChanges#%1b0000000.Recomendações
Para versões do MediaWiki anteriores à 1.39.7, atualize para a versão 1.39.7 ou posterior.
Para versões do MediaWiki 1.40.x anteriores à 1.40.3, atualize para a versão 1.40.3 ou posterior.
Para versões do MediaWiki 1.41.x anteriores à 1.41.1, atualize para a versão 1.41.1 ou posterior.
Como solução temporária, considere restringir o acesso ao arquivo
includes/CommentFormatter/CommentParser.php até que um patch esteja disponível. Evite usar o caractere 0x1b nas entradas do usuário até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Mediawiki
Red Os