CVE-2025-49575

Nome do Software Vulnerável e Versões Afetadas mediawiki-skins-Citizen versões anteriores a 3.3.1

Descrição O problema afeta o skin Citizen do MediaWiki, permitindo XSS armazenado nas mensagens de dica da Paleta de Comandos. Isso ocorre porque várias mensagens do sistema são inseridas no CommandPaletteFooter como HTML bruto, permitindo que qualquer pessoa que possa editar essas mensagens insira HTML arbitrário no DOM. Isso impacta wikis onde um grupo possui o direito de usuário editinterface, mas não o editsitejs.

Recomendações Para versões anteriores a 3.3.1, atualize para a versão 3.3.1 para resolver o problema. Como solução temporária, considere restringir o direito de usuário editinterface para prevenir a edição não autorizada de mensagens do sistema.