CRITICAL🇬🇧 English

CVE-2024-34502

CSRF w WikibaseLexeme (MediaWiki) — nieuprawnione scalanie leksemów

CVSS 9.8v3.1pub. 2024-05-05upd. 2025-11-04

Rozszerzenie WikibaseLexeme w MediaWiki umożliwia wykonanie operacji scalania leksemów (MergeLexemes) bez weryfikacji, czy żądanie pochodzi z formularza POST i czy zawiera token edycji. Stanowi to klasyczny błąd Cross-Site Request Forgery (CSRF), który może prowadzić do nieautoryzowanych modyfikacji danych.

Pokaż oryginał (EN)

An issue was discovered in WikibaseLexeme in MediaWiki before 1.39.6, 1.40.x before 1.40.2, and 1.41.x before 1.41.1. Loading Special:MergeLexemes will (attempt to) make an edit that merges the from-id to the to-id, even if the request was not a POST request, and even if it does not contain an edit token.

🤖 Analiza AI
Jak działa

Załadowanie strony Special:MergeLexemes powoduje próbę wykonania edycji scalającej leksem źródłowy (from-id) z docelowym (to-id), niezależnie od metody HTTP użytej w żądaniu. Mechanizm nie sprawdza, czy żądanie jest metodą POST ani czy zawiera wymagany token edycji chroniący przed atakami CSRF. Atakujący może nakłonić zalogowanego użytkownika do odwiedzenia specjalnie spreparowanego adresu URL, co spowoduje wykonanie nieautoryzowanej operacji scalania w jego imieniu.

Skutki

Atakujący może doprowadzić do nieautoryzowanego scalenia leksemów w bazie danych wiki, powodując trwałą modyfikację lub zniszczenie danych bez wiedzy i zgody uprawnionego użytkownika. Przy odpowiednich uprawnieniach ofiary możliwe jest masowe uszkodzenie zawartości repozytorium Wikibase.

Mitygacja

Należy zaktualizować MediaWiki do wersji 1.39.6, 1.40.2 lub 1.41.1 (w zależności od używanej gałęzi) oraz upewnić się, że rozszerzenie WikibaseLexeme jest zaktualizowane zgodnie z poprawką dostępną w repozytorium Gerrit (patch 1013359). Użytkownicy Fedory powinni zastosować aktualizacje pakietów zgodnie z komunikatem opublikowanym na liście package-announce.

Kogo dotyczy

MediaWiki z rozszerzeniem WikibaseLexeme w wersjach przed 1.39.6, 1.40.x przed 1.40.2 oraz 1.41.x przed 1.41.1; dotyczy również dystrybucji Fedora zawierających te wersje.

Uwagi

Pomimo oceny CVSS 9.8 (CRITICAL) i klasyfikacji CWE-352 (CSRF), podatność nie figuruje w katalogu CISA KEV. Wektor ataku sieciowy bez wymaganych uprawnień i interakcji użytkownika po stronie serwera uzasadnia wysoką ocenę CVSS, jednak praktyczna eksploatacja wymaga nakłonienia zalogowanego użytkownika do wykonania odpowiedniego żądania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Fedora Project Fedora

    OS
    Fedoraproject
    40
  • Mediawiki

    APP
    Mediawiki
    < 1.39.61.40.0 – 1.40.2 (bez)1.41.0 – 1.41.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML

CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)

CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox

CVE-2023-6345CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Integer overflow w Skia w Google Chrome — sandbox escape