CVE-2024-47781 in CreateWiki情報

要約

〜によって VulDB • 2026年05月24日

CreateWikiは、Mirahezeでウィキのリクエストおよび作成に使用される拡張機能です。リクエストされたウィキの名前はSpecial:RequestWikiQueueでエスケープされていないため、ユーザーはウィキをリクエストする際に、リクエストウィキキューに表示される任意のHTMLを挿入できます。ウィキ作成者がXSSペイロードに遭遇すると、そのユーザーセッションを悪用して、通常は機密情報を含む削除されたウィキリクエストを取得できます。同様に、リクエストの抑制権限を持つユーザーに対しても、機密情報を閲覧するためにこの脆弱性が悪用される可能性があります。この問題はコミット`693a220`で修正されており、すべてのユーザーはパッチを適用することが推奨されます。アップグレードが不可能なユーザーは、JavaScriptを無効にするか、脆弱なページ(Special:RequestWikiQueue)へのアクセスを防止する必要があります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2024年09月30日

モデレーション

承諾済み

エントリ

VDB-279546

EPSS

0.00300

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!