CVE-2020-29007
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
15/04/2023
Última modificación:
06/02/2025
Descripción
*** Pendiente de traducción *** The Score extension through 0.3.0 for MediaWiki has a remote code execution vulnerability due to improper sandboxing of the GNU LilyPond executable. This allows any user with an ability to edit articles (potentially including unauthenticated anonymous users) to execute arbitrary Scheme or shell code by using crafted {{Image data to generate musical scores containing malicious code.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mediawiki:score:*:*:*:*:*:mediawiki:*:* | 0.3.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/seqred-s-a/cve-2020-29007
- https://phabricator.wikimedia.org/T257062
- https://seqred.pl/en/cve-2020-29007-remote-code-execution-in-mediawiki-score/
- https://www.mediawiki.org/wiki/Extension:Score
- https://www.mediawiki.org/wiki/Extension:Score/2021_security_advisory
- https://github.com/seqred-s-a/cve-2020-29007
- https://phabricator.wikimedia.org/T257062
- https://seqred.pl/en/cve-2020-29007-remote-code-execution-in-mediawiki-score/
- https://www.mediawiki.org/wiki/Extension:Score
- https://www.mediawiki.org/wiki/Extension:Score/2021_security_advisory