2021-12 security release/FAQ/es

Se han encontrado una serie de vulnerabilidades en MediaWiki, que permiten a un atacante filtrar contenidos de páginas de wikis privadas y eludir los permisos de edición. El principal vector de este wiki-leak, es el uso de acciones vulnerables, en páginas que se enumeran en el siguiente listado y, por lo tanto, son de acceso público. MediaWiki actualmente, solo permite que la función "ver", sea públicamente accesible en las páginas por defecto. Estos problemas se corrigen en versiones 1.35.5, 1.36.3, y 1.37.1, consulte el announcement para obtener enlaces a archivos tar y parches.

¿Cuáles son los problemas?

 * CVE-2021-44858: La función "deshacer" (action=edit&undo=##&undoafter=###), permitió a un atacante ver el contenido de revisiones arbitrarias,sin importar si tenía permisos para hacerlo. Esto también, se encontró en las acciones "mcrundo" and "mcrrestore" (action=mcrundo and action=mcrrestore).
 * CVE-2021-45038: La función de "rollback" (action=rollback), podría pasar un parámetro especialmente diseñado, que permitía a un atacante ver el contenido de páginas arbitrarias, independientemente de si tenían permisos para hacerlo.
 * CVE-2021-44857: Las acciones "mcrundo" and "mcrrestore" (action=mcrundo and action=mcrrestore), no verificaron adecuadamente los permisos de edición, y permitió a un atacante tomar el contenido de cualquier revisión arbitraria y guardarlo en cualquier página de su elección. Esto afecta, tanto a las wikis públicas como a las páginas públicas de las wikis privadas.

No tengo tiempo para parches, ¿cómo desactivo esto?
Agregue lo siguiente, a su archivo LocalSettings.php:

Si su wiki es privado (requiere inicio de sesión, para ver las páginas), también deberá configurar:

Debería deshabilitar completamente el código vulnerable. Estos cambios, también funcionarán para las versiones vulnerables de MediaWiki, que se encuentren al final de su vida útil y que no tienen un parche disponible.

Si usted usa para permitir a los usuarios desconectados ver la página principal con texto de ayuda, en su lugar, debe mover ese texto de ayuda al mensaje de texto MediaWiki:Loginreqpagetext, que se muestra en el error, "se requiere inicio de sesión".

¿Como me afecta?

 * Si tu wiki es pública (cualquiera puede leer páginas): sí
 * Si tu wiki es privada y o  tiene al menos una página: sí

Si utiliza una extensión como Lockdown o Whitelist Pages para hacer que algunas páginas sean ilegibles para algunos usuarios, es probable que usted también se vea afectado.

¿Qué versiones son vulnerables?
Todas las versiones de MediaWiki, desde la 1.23.0 son vulnerables a las omisiones de permisos de lectura de wikis privados (CVE-2021-44858, CVE-2021-45038).

Todas las versiones de MediaWiki, desde la 1.32.0 son vulnerables a la omisión de los permisos de edición. (CVE-2021-44857).

¿Cómo se soluciona esto a largo plazo?
Todas las acciones, excepto "ver", ahora requieren un derecho de usuario explícito de "lectura". Esto es similar, a las comprobaciones de permisos utilizadas en las API Action y REST. Si se encuentran más vulnerabilidades en las acciones, al menos no podrán ser explotadas por usuarios que no hayan iniciado sesión en wikis privados.

Las acciones que deben poder utilizarse en las páginas pueden anular la nueva función Action::needsReadRight.

How can I see if someone exploited it on my wiki?
Look for  or   in your access logs. Unless you specifically enabled an extension that uses multi-content revisions, there is no legitimate use for these actions.

In addition, look for  requests and check whether the revision IDs belong to a different title than the page being edited.

For the rollback bug, look for  where the "from" parameter is a template transclusion (for example,  ).

This bug does not cause any data loss, so any write actions an attacker could have taken will be recorded in page history like all other edits.

Credit
The issue was discovered by Dylsss, many thanks to them for identifying and reporting the issue. If you find a bug in MediaWiki, please see the process for reporting security bugs.