php · starcitizenwiki/embedvideoCrítico
starcitizenwiki/embedvideo: vulnerabilidade de injeção HTML/JavaScript via URLs de vídeo malformados
Descoberta vulnerabilidade de segurança na extensão EmbedVideo: URLs ou IDs de vídeo malformados podem escapar do atributo data-mw-iframeconfig via aspas simple
O que mudou
Descoberta vulnerabilidade de segurança na extensão EmbedVideo: URLs ou IDs de vídeo malformados podem escapar do atributo data-mw-iframeconfig via aspas simples, permitindo injeção de HTML/JavaScript.
Quem isso afeta
Qualquer usuário com permissão de edição em wiki com $wgEmbedVideoRequireConsent habilitado (padrão) pode injetar JavaScript arbitrário executado na origem da wiki para todos os visitantes.
O que fazer hoje
Atualize a extensão EmbedVideo para uma versão corrigida ou aplique o fix do advisory imediatamente.
A esteira
Coletado→
Auditado→
Redigido→
Publicado