Vulnerabilità: CVE-2020-25828

Un problema è stato scoperto nel MediaWiki prima di 1.31.10 e 1.32.x attraverso 1.34.x prima 1.34.4. La versione non jqueryMsg di mw.message (). Parse () non sfugge HTML. Questo riguarda sia il contenuto del messaggio (che sono generalmente sicuri) ei parametri (che può essere basato su input dell’utente). (Quando jqueryMsg è caricato, accetta correttamente solo i tag whitelist di contenuto del messaggio, e sfugge a tutti i parametri di situazioni con un jqueryMsg scaricati sono rari in pratica, ma può verificarsi, ad esempio per la speciale:. Specialpages su un wiki senza estensioni installate.)


https://lists.wikimedia.org/pipermail/mediawiki-l/2020-September/048480.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RTTPZ7XMDS66I442OLLHXBDNP2LCBJU6/
https://lists.wikimedia.org/pipermail/mediawiki-announce
https://lists.wikimedia.org/pipermail/mediawiki-l/2020-September/048488.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25828


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi