Rozszerzenie WikibaseLexeme w MediaWiki umożliwia wykonanie operacji scalania leksemów (MergeLexemes) bez weryfikacji, czy żądanie pochodzi z formularza POST i czy zawiera token edycji. Stanowi to klasyczny błąd Cross-Site Request Forgery (CSRF), który może prowadzić do nieautoryzowanych modyfikacji danych.
▸ Pokaż oryginał (EN)
An issue was discovered in WikibaseLexeme in MediaWiki before 1.39.6, 1.40.x before 1.40.2, and 1.41.x before 1.41.1. Loading Special:MergeLexemes will (attempt to) make an edit that merges the from-id to the to-id, even if the request was not a POST request, and even if it does not contain an edit token.
Załadowanie strony Special:MergeLexemes powoduje próbę wykonania edycji scalającej leksem źródłowy (from-id) z docelowym (to-id), niezależnie od metody HTTP użytej w żądaniu. Mechanizm nie sprawdza, czy żądanie jest metodą POST ani czy zawiera wymagany token edycji chroniący przed atakami CSRF. Atakujący może nakłonić zalogowanego użytkownika do odwiedzenia specjalnie spreparowanego adresu URL, co spowoduje wykonanie nieautoryzowanej operacji scalania w jego imieniu.
Atakujący może doprowadzić do nieautoryzowanego scalenia leksemów w bazie danych wiki, powodując trwałą modyfikację lub zniszczenie danych bez wiedzy i zgody uprawnionego użytkownika. Przy odpowiednich uprawnieniach ofiary możliwe jest masowe uszkodzenie zawartości repozytorium Wikibase.
Należy zaktualizować MediaWiki do wersji 1.39.6, 1.40.2 lub 1.41.1 (w zależności od używanej gałęzi) oraz upewnić się, że rozszerzenie WikibaseLexeme jest zaktualizowane zgodnie z poprawką dostępną w repozytorium Gerrit (patch 1013359). Użytkownicy Fedory powinni zastosować aktualizacje pakietów zgodnie z komunikatem opublikowanym na liście package-announce.
MediaWiki z rozszerzeniem WikibaseLexeme w wersjach przed 1.39.6, 1.40.x przed 1.40.2 oraz 1.41.x przed 1.41.1; dotyczy również dystrybucji Fedora zawierających te wersje.
Pomimo oceny CVSS 9.8 (CRITICAL) i klasyfikacji CWE-352 (CSRF), podatność nie figuruje w katalogu CISA KEV. Wektor ataku sieciowy bez wymaganych uprawnień i interakcji użytkownika po stronie serwera uzasadnia wysoką ocenę CVSS, jednak praktyczna eksploatacja wymaga nakłonienia zalogowanego użytkownika do wykonania odpowiedniego żądania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFedora Project Fedora
OSFedoraproject40Mediawiki
APPMediawiki< 1.39.61.40.0 – 1.40.2 (bez)1.41.0 – 1.41.1 (bez)
Powiązane podatności
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit
Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML
Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)
Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox
Integer overflow w Skia w Google Chrome — sandbox escape