Vulnerabilidad en CreateWiki (CVE-2024-34701)

CreateWiki es la extensión MediaWiki de Miraheze para solicitar y crear wikis. Es posible que los usuarios sean considerados solicitantes de una solicitud de wiki específica si su ID de usuario local en cualquier wiki de una granja de wiki coincide con la ID local del solicitante en el wiki donde se realizó la solicitud de wiki. Esto les permite ir a la entrada de esa solicitud en Special:RequestWikiQueue en el wiki donde coincide su ID de usuario local y realizar cualquier acción que el solicitante del wiki pueda realizar desde allí. el commit 02e0f298f8d35155c39aa74193cb7b867432c5b8 soluciona el problema. Nota importante sobre la solución: esta vulnerabilidad se solucionó deshabilitando el acceso a la API REST y a páginas especiales fuera del wiki configurado como "wiki global" en `$wgCreateWikiGlobalWiki` en la configuración de MediaWiki de un usuario. Como workaround, es posible desactivar las páginas especiales fuera de la propia wiki global haciendo algo similar a `miraheze/mw-config` commit e5664995fbb8644f9a80b450b4326194f20f9ddc que se adapta a la propia configuración. En cuanto a la API REST, antes de la solución, no había ningún endpoint REST que permitiera realizar escrituras. De todos modos, también es posible deshabilitarlo fuera del wiki global usando `$wgCreateWikiDisableRESTAPI` y `$wgConf` en la configuración de la propia granja de wiki.