CVE-2024-47782

WikiDiscover (versões afetadas não especificadas)

A vulnerabilidade diz respeito ao WikiDiscover, uma extensão para exibir wikis em um conjunto de servidores gerenciado pelo CreateWiki. Uma página especial, Special:WikiDiscover, lista todas as wikis, mas não realiza o escape dos nomes e descrições das wikis, permitindo a execução de cargas XSS quando uma wiki contendo tal carga é exibida. O número estimado de dispositivos potencialmente afetados não foi fornecido, e não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos incluem a falta de escapamento para nomes e descrições de wikis, possibilitando ataques XSS por meio de Special:WikiDiscover.

Para todas as versões do WikiDiscover, aplique o patch com o commit 2ce846dd93 para resolver o problema.

Como solução alternativa temporária para usuários que não possam atualizar, bloqueie o acesso a Special:WikiDiscover para minimizar o risco de exploração.