CVE-2025-25287

Nome do Software Vulnerável e Versões Afetadas: Versões do Lakeus de 1.8.0 a 1.3.1 Versões do Lakeus anteriores a 1.3.1+REL1.39 Versões do Lakeus anteriores a 1.3.1+REL1.42 Versões do Lakeus anteriores a 1.4.0

Descrição: O Lakeus é um tema simples desenvolvido para o MediaWiki. Ele é vulnerável a cross-site scripting (XSS) armazenado por meio de mensagens de sistema maliciosas, embora a edição das mensagens exija privilégios elevados. Usuários com direitos (editinterface) podem editar mensagens de sistema que são tratadas de forma inadequada para enviar HTML bruto. No caso de lakeus-footermessage, isso afetará todos os usuários se o servidor estiver configurado para vincular de volta a este repositório. Caso contrário, as mensagens de sistema em themeDesigner.js são usadas apenas quando o usuário as habilita em suas preferências.

Recomendações: Para versões do Lakeus de 1.8.0 a 1.3.1, atualize para a versão 1.3.1+REL1.39 ou posterior. Para versões do Lakeus anteriores a 1.3.1+REL1.42, atualize para a versão 1.3.1+REL1.42 ou posterior. Para versões do Lakeus anteriores a 1.4.0, atualize para a versão 1.4.0 ou posterior. Como solução temporária, considere restringir o acesso aos direitos (editinterface) para minimizar o risco de exploração. Evite usar a mensagem de sistema lakeus-footermessage até que o problema seja resolvido.