CVE-2025-62508

Nome do Software Vulnerável e Versões Afetadas Citizen versões 3.3.0 a 3.9.0

Descrição O Citizen, um skin do MediaWiki, possui uma vulnerabilidade onde pode ocorrer cross-site scripting armazenado no tratamento de mensagens do botão do cabeçalho fixo. A função copyButtonAttributes em stickyHeader.js atribui innerHTML a partir do textContent de um elemento de origem ao copiar os rótulos dos botões. Isso permite que HTML escapado no conteúdo de mensagens do sistema (como citizen-share, citizen-view-history, citizen-view-edit e nstab-talk) seja interpretado como HTML no cabeçalho fixo, possibilitando potencialmente a injeção de scripts arbitrários. Um usuário com o direito editinterface, mas sem o direito editsitejs, pode executar JavaScript arbitrário nas sessões de outros usuários, potencialmente obtendo acesso não autorizado a dados sensíveis ou realizando ações não autorizadas.

Recomendações Atualize para a versão 3.9.0 ou superior.