Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el registro de cualquier cuenta en Scratch Login (extensión MediaWiki) (CVE-2020-15164)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
28/08/2020
Última modificación:
17/06/2026

Descripción

En Scratch Login (extensión de MediaWiki) versiones anteriores a versión 1.1, cualquier cuenta puede ser registrada usando el mismo nombre de usuario con guiones bajos al principio, al final o repetidos, ya que MediaWiki los trata como espacios en blanco y los recorta. Esto afecta a todos los usuarios de cualquier wiki que usan esta extensión. Desde la versión 1.1, los comentarios de los usuarios cuyos nombres de usuario se recortarían en MediaWiki se ignoran cuando se buscan por el código de comprobación

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:scratch-wiki:scratch_login:*:*:*:*:*:mediawiki:*:* 1.1 (excluyendo)