PT-2024-32827 · Mediawiki · Importdump
Blankeclair
·
Publicado
2024-10-09
·
Atualizado
2024-10-10
·
CVE-2024-47816
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
ImportDump (versões afetadas não especificadas)
Descrição
O problema diz respeito à extensão ImportDump do MediaWiki, projetada para automatizar solicitações de importação de usuários. O ID de ator local de um usuário é armazenado no banco de dados para rastrear quem fez quais solicitações. No entanto, se um usuário em outra wiki tiver o mesmo ID de ator que alguém na wiki central, ele poderá agir como se fosse o solicitante original da wiki. Isso pode ser explorado para criar novos comentários, editar solicitações e visualizar solicitações privadas.
Recomendações
Atualize para uma versão que inclua a correção do commit
5c91dfc.Se a atualização não for possível, desative a página especial fora da wiki global; consulte
miraheze/mw-config@e566499 para obter detalhes.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Importdump