CVE-2024-47781

CreateWiki (versões afetadas não especificadas)

O problema diz respeito à extensão CreateWiki, usada para solicitar e criar wikis, na qual o nome dos wikis solicitados não é devidamente escapado na página Special:RequestWikiQueue. Isso permite que um usuário insira código HTML arbitrário, que pode ser exibido na fila de solicitações de wikis. Se um criador de wiki se deparar com a carga maliciosa, sua sessão de usuário pode ser explorada para recuperar solicitações de wiki excluídas contendo informações privadas. Da mesma forma, isso pode ser abusado para visualizar informações confidenciais por aqueles com a capacidade de suprimir solicitações.

Para resolver o problema, aplique o patch com o commit 693a220.

Como solução temporária, considere desativar o Javascript e/ou impedir o acesso à página vulnerável Special:RequestWikiQueue até que o patch seja aplicado.