CVE-2020-29007

CRÍTIC: (9,8)

CVSS3: 8,8

Score per a MediaWiki podria permetre a un atacant remot executar codi arbitrari al sistema. Això estaria causat per un sandboxing inadequat de l’executable GNU LilyPond. Mitjançant l’ús de dades {{Image}} especialment dissenyades, l’atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari al sistema.

Sistemes Afectats

• Wikimedia Foundation MediaWiki
• MediaWiki Score extension for MediaWiki 0.3.0
• MediaWiki Score extension for MediaWiki 0.2.9

Remediació
Consulteu el lloc web de MediaWiki per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://www.mediawiki.org/wiki/Extension:Score/2021_security_advisory
• https://github.com/seqred-s-a/cve-2020-29007
• https://seqred.pl/en/cve-2020-29007-remote-code-execution-in-mediawiki-score/
• https://phabricator.wikimedia.org/T257062
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29007