CVE-2025-21612

Nome do Software Vulnerável e Versões Afetadas Versões do TabberNeue anteriores a 2.7.2

Descrição O problema surge devido ao uso de entrada de usuário não escapada na construção de HTML, permitindo que qualquer usuário capaz de editar páginas ou renderizar wikitext realize ataques de cross-site scripting (XSS) contra outros usuários. Especificamente, em TabberTransclude.php, o nome da página fornecido pelo usuário não é escapado durante a saída, permitindo que um payload de XSS seja usado como nome da página. Esta vulnerabilidade pode ser explorada ao renderizar wikitext malicioso, potencialmente permitindo que um atacante engane vítimas para clicarem em links para Special:ExpandTemplates com o wikitext malicioso no parâmetro wpInput.

Recomendações Para versões anteriores a 2.7.2, atualize para a versão 2.7.2 para corrigir esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao módulo TabberTransclude.php para minimizar o risco de exploração. Além disso, evite usar entrada de usuário não escapada no parâmetro wpInput até que o problema seja resolvido.