如果 ImportDump 中的参与者 ID 一致,用户可以冒充导入请求者 (CVE-2024-47816)

admin
admin
admin
0
文章
0
评论
2024-10-10 20:25:55 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
如果 ImportDump 中的参与者 ID 一致,用户可以冒充导入请求者 (CVE-2024-47816)

CVE编号

CVE-2024-47816

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-10
漏洞描述
ImportDump是一个用于自动化用户导入请求的MediaWiki扩展。用户的本地演员ID被存储在数据库中,以记录谁提出了哪些请求。因此,如果另一个wiki上的用户的演员ID与中心wiki上的某个用户相同,则该用户就可以表现得像是原始的wiki请求者。这可能会被滥用以创建新评论、编辑请求以及查看标记为私密的请求。这个问题已在提交`5c91dfc`中得到解决,并建议所有用户进行更新。无法更新的用户可以在其全局wiki之外禁用特殊页面。有关详细信息,请参阅`miraheze/mw-config@e566499`。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/miraheze/ImportDump/commit/5c91dfce78320e717516ee65ef5a05f...
https://github.com/miraheze/ImportDump/security/advisories/GHSA-jjmq-mg36-6387
https://github.com/miraheze/mw-config/commit/e5664995fbb8644f9a80b450b4326194f20f9ddc
https://issue-tracker.miraheze.org/T12701
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-282 属主管理不恰当
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0