← volver
CVE-2018-25089

glb Meetup Tag Extension Link Attribute reverse tabnabbing

CVSS 3.5 LOWEPSS 0.5%CWE-1022
En resumen

La extensión glb Meetup Tag para MediaWiki permite que los enlaces abran ventanas nuevas que pueden acceder a la página original a través de window.opener, permitiendo que atacantes redirijan usuarios o manipulen la página de origen. Esto se conoce como reverse tabnabbing y puede usarse para phishing.

Detalle técnico

El manejador de atributos de enlace en la extensión glb Meetup Tag 0.1 no asegura adecuadamente los enlaces externos abiertos en nuevas pestañas/ventanas, permitiendo que la página abierta acceda y manipule la ventana original mediante window.opener. Un atacante puede crear un enlace malicioso que, al ser clicado, abre una página controlada con capacidad de redirigir o modificar la página original de MediaWiki, facilitando ataques de phishing o secuestro de sesión. Actualice a la versión 0.2.

Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability was found in glb Meetup Tag Extension 0.1 on MediaWiki. It has been rated as problematic. This issue affects some unknown processing of the component Link Attribute Handler. The manipulation leads to use of web link to untrusted target with window.opener access. Upgrading to version 0.2 is able to address this issue. The identifier of the patch is 850c726d6bbfe0bf270801fbb92a30babea4155c. It is recommended to upgrade the affected component. The identifier VDB-238157 was assigned to this vulnerability.
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Productos afectados
glb · Meetup Tag Extension

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/glb/mediawiki-tag-extension-meetup/commit/850c726d6bbfe0bf270801fbb92a30babea4155chttps://github.com/glb/mediawiki-tag-extension-meetup/releases/tag/v0.2https://vuldb.com/?ctiid.238157https://vuldb.com/?id.238157