Vulnerabilidad en Citizen (CVE-2025-53368)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/07/2025
Última modificación:
22/08/2025
Descripción
Citizen es una interfaz de MediaWiki que integra extensiones en la experiencia cohesiva. Desde la versión 1.9.4 hasta la 3.4.0, las descripciones de página se insertaban en HTML sin procesar sin la debida depuración de la interfaz Citizen al usar la antigua barra de búsqueda. Cualquier usuario con permisos de edición de páginas puede insertar payloads de cross-site scripting (XSS) en el DOM para otros usuarios que busquen páginas específicas. Este problema se ha corregido en la versión 3.4.0.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:starcitizen.tools:citizen:*:*:*:*:*:mediawiki:*:* | 1.9.4 (incluyendo) | 3.4.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página