Podatność klasy CWE-732 (Incorrect Permission Assignment for Critical Resource) w rozszerzeniu Lockdown dla MediaWiki umożliwia nieuprawnione nadużycie przywilejów (Privilege Abuse). Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla wszystkich instancji korzystających z tego rozszerzenia.
▸ Pokaż oryginał (EN)
Incorrect Permission Assignment for Critical Resource vulnerability in The Wikimedia Foundation Mediawiki - Lockdown Extension allows Privilege Abuse. Fixed in Mediawiki Core Action APIThis issue affects Mediawiki - Lockdown Extension: from master before 1.42.
Rozszerzenie Lockdown służy do ograniczania dostępu do przestrzeni nazw i zasobów MediaWiki na podstawie grup użytkowników. Wskutek nieprawidłowego przypisania uprawnień do krytycznych zasobów, mechanizmy kontroli dostępu implementowane przez rozszerzenie mogą zostać ominięte za pośrednictwem Core Action API MediaWiki. Atakujący — bez konieczności uwierzytelnienia, interakcji użytkownika ani spełnienia dodatkowych warunków — może uzyskać dostęp do zasobów, które powinny być chronione przez Lockdown.
Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów wiki oraz potencjalnie eskalować swoje uprawnienia, obchodząc restrykcje nałożone przez rozszerzenie Lockdown. Wektory CVSS wskazują na wysoki wpływ na poufność, integralność i dostępność zarówno systemu docelowego, jak i systemów z nim powiązanych.
Należy zaktualizować rozszerzenie Lockdown do wersji 1.42 lub nowszej. Poprawka dostępna jest w repozytorium Gerrit Wikimedia Foundation (Id275382743957004fa7fc56318fc104d8e2d267b). Szczegóły dostępne w zgłoszeniu phabricator.wikimedia.org/T397521.
Mediawiki z zainstalowanym rozszerzeniem Lockdown — wersje od gałęzi master przed wersją 1.42. Poprawka została wprowadzona w MediaWiki Core Action API.
Podatność dotyczy specyficznej interakcji między rozszerzeniem Lockdown a Core Action API MediaWiki — administratorzy korzystający z rozszerzenia Lockdown do ochrony wrażliwych przestrzeni nazw powinni traktować aktualizację priorytetowo, nawet przy braku potwierdzonego exploitu w środowisku produkcyjnym.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X