Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la variable $wgFileImporterRequiredRight en la extensión FileImporter de MediaWiki (CVE-2021-36132)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema en la extensión FileImporter de MediaWiki versiones hasta 1.36. Para determinadas configuraciones relajadas de la variable $wgFileImporterRequiredRight, podría no comprobar todos los derechos de usuario apropiados, permitiendo así a un usuario con derechos insuficientes llevar a cabo operaciones (específicamente subidas de archivos) que no deberían permitirse llevarse a cabo
Vulnerabilidad en varios campos de datos en la extensión SportsTeams de MediaWiki (CVE-2021-36131)
Gravedad:
BajaBaja
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema de tipo XSS en la extensión SportsTeams de MediaWiki versiones hasta 1.36. En varias páginas especiales, un usuario privilegiado podría inyectar HTML y JavaScript arbitrarios en varios campos de datos. El ataque podría propagarse fácilmente mediante muchas páginas para muchos usuarios
Vulnerabilidad en varios campos de datos gift-related en la extensión SocialProfile de MediaWiki (CVE-2021-36130)
Gravedad:
BajaBaja
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema de tipo XSS en la extensión SocialProfile de MediaWiki versiones hasta 1.36. Dentro de varias páginas especiales gift-related, un usuario privilegiado con el derecho awardmanage podría inyectar HTML y JavaScript arbitrarios dentro de varios campos de datos gift-related. El ataque podría propagarse fácilmente a través muchas páginas para muchos usuarios
Vulnerabilidad en el módulo Aggregategroups Action API en la extensión Translate de MediaWiki (CVE-2021-36129)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema en la extensión Translate de MediaWiki versiones hasta 1.36. El módulo Aggregategroups Action API no comprueba el parámetro para aggregategroup cuando se ajusta action=remove, permitiendo a usuarios con el derecho translate-manage eliminar silenciosamente los metadatos de varios grupos
Vulnerabilidad en los bloqueos automáticos en la extensión CentralAuth en MediaWiki (CVE-2021-36128)
Gravedad:
AltaAlta
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema en la extensión CentralAuth en MediaWiki versiones hasta 1.36. Los bloqueos automáticos para los bloques de supresión emitidos por CentralAuth no son implementados apropiadamente
Vulnerabilidad en la página Special:GlobalUserRights en la extensión CentralAuth en MediaWiki (CVE-2021-36127)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema en la extensión CentralAuth en MediaWiki versiones hasta 1.36. La página Special:GlobalUserRights proporcionaba resultados de búsqueda que, para un usuario suprimido de MediaWiki, eran diferentes a los de cualquier otro usuario, revelando así fácilmente las cuentas suprimidas (que se supone que están completamente ocultas)
Vulnerabilidad en el mensaje de MediaWiki:Abusefilter-blocker en la extensión AbuseFilter en MediaWiki (CVE-2021-36126)
Gravedad:
AltaAlta
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema en la extensión AbuseFilter en MediaWiki versiones hasta 1.36. Si el mensaje de MediaWiki:Abusefilter-blocker es inválido dentro del idioma del contenido, el filtro del usuario vuelve a la versión en Inglés, pero esa versión en inglés también podría ser inválida en un wiki. Esto puede resultar en un error fatal, y potencialmente ocurrir un fallo en bloquear o restringir a un usuario potencialmente nefasto
Vulnerabilidad en la página Special:GlobalRenameRequest en la extensión CentralAuth en MediaWiki (CVE-2021-36125)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
07/07/2021
Descripción:
Se ha detectado un problema en la extensión CentralAuth en MediaWiki versiones hasta 1.36. La página Special:GlobalRenameRequest es vulnerable a bucles infinitos y a ataques de denegación de servicio cuando el nombre de usuario actual de un usuario supera un valor de configuración máximo arbitrario (MaxNameChars)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la API de acción en MediaWiki (CVE-2021-35197)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
18/10/2021
Descripción:
En MediaWiki versiones anteriores a 1.31.15, versiones 1.32.x hasta 1.35.x, versiones anteriores a 1.35.3, y versiones 1.36.x anteriores a 1.36.1, unos bots presentan determinados accesos a la API no deseados. Cuando una cuenta de bot presenta un "sitewide block" aplicado, es capaz de "purge" páginas mediante la API de acción de MediaWiki (lo que un "bloqueo del sitio" debería haber impedido)