Уязвимость CVE-2020-35625: Информация

Описание

An issue was discovered in the Widgets extension for MediaWiki through 1.35.1. Any user with the ability to edit pages within the Widgets namespace could call any static function within any class (defined within PHP or MediaWiki) via a crafted HTML comment, related to a Smarty template. For example, a person in the Widget Editors group could use \MediaWiki\Shell\Shell::command within a comment.

Важность: HIGH (8,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Опубликовано: 22 декабря 2020 г.
Изменено: 21 июля 2021 г.
Идентификатор типа ошибки: CWE-862

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
mediawikisisyphus1.35.2-alt11.40.1-alt2ALT-PU-2021-1712-1270649Исправлено
mediawikip101.35.2-alt11.40.1-alt2ALT-PU-2021-1712-1270649Исправлено
mediawikip91.36.1-alt11.36.1-alt1ALT-PU-2021-2091-1274917Исправлено
mediawikic10f11.35.2-alt11.37.2-alt1ALT-PU-2021-1712-1270649Исправлено
mediawikip111.35.2-alt11.40.1-alt2ALT-PU-2021-1712-1270649Исправлено
mediawiki-extensions-Widgetssisyphus1.3.0-alt1git1.3.0-alt1gitALT-PU-2021-2069-1276124Исправлено
mediawiki-extensions-Widgetsp101.3.0-alt1git1.3.0-alt1gitALT-PU-2021-2069-1276124Исправлено
mediawiki-extensions-Widgetsp91.3.0-alt1git1.3.0-alt1gitALT-PU-2021-2092-1274917Исправлено
mediawiki-extensions-Widgetsc10f11.3.0-alt1git1.3.0-alt1gitALT-PU-2021-2069-1276124Исправлено
mediawiki-extensions-Widgetsp111.3.0-alt1git1.3.0-alt1gitALT-PU-2021-2069-1276124Исправлено

Ссылки на рекомендации, решения и инструменты

    1. Конфигурация 1

      cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:*
      End including
      1.35.1