Vulnerabilidad en mediawiki (CVE-2024-47812)

ImportDump es una extensión para mediawiki diseñada para automatizar las solicitudes de importación de los usuarios. Cualquiera que pueda editar las cadenas de interfaz de una wiki (normalmente administradores y administradores de interfaz) puede incrustar payloads XSS en los mensajes de fechas y, por tanto, enviar XSS a cualquiera que vea Special:RequestImportQueue. Este problema se ha corregido en el commit `d054b95` y se recomienda a todos los usuarios que apliquen esta confirmación a su rama. Los usuarios que no puedan actualizar pueden impedir el acceso a Special:RequestImportQueue en todas las wikis, excepto en la wiki global; y si hay disponible una protección de nivel de administrador de interfaz (o equivalente) (que no se proporciona de forma predeterminada) en la wiki global, proteger los mensajes afectados hasta ese nivel. Esto hace que el XSS sea prácticamente inútil, ya que los usuarios con esos derechos ya pueden editar páginas de Javascript. O impedir el acceso a Special:RequestImportQueue por completo.