CVE-2024-47781 in CreateWiki
要約
〜によって VulDB • 2026年05月24日
CreateWikiは、Mirahezeでウィキのリクエストおよび作成に使用される拡張機能です。リクエストされたウィキの名前はSpecial:RequestWikiQueueでエスケープされていないため、ユーザーはウィキをリクエストする際に、リクエストウィキキューに表示される任意のHTMLを挿入できます。ウィキ作成者がXSSペイロードに遭遇すると、そのユーザーセッションを悪用して、通常は機密情報を含む削除されたウィキリクエストを取得できます。同様に、リクエストの抑制権限を持つユーザーに対しても、機密情報を閲覧するためにこの脆弱性が悪用される可能性があります。この問題はコミット`693a220`で修正されており、すべてのユーザーはパッチを適用することが推奨されます。アップグレードが不可能なユーザーは、JavaScriptを無効にするか、脆弱なページ(Special:RequestWikiQueue)へのアクセスを防止する必要があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.