Plateforme
php
Composant
tableprogresstracking
Corrigé dans
1.2.2
La vulnérabilité CVE-2025-67646 affecte l'extension TableProgressTracking de MediaWiki, utilisée pour suivre la progression par rapport à des critères spécifiques. Elle se manifeste par un manque de validation CSRF (Cross-Site Request Forgery) dans l'API REST de l'extension. Les versions concernées sont celles inférieures ou égales à 1.2.0. Une correction a été déployée dans la version 1.2.1, résolvant ainsi ce problème.
Cette vulnérabilité CSRF permet à un attaquant d'exploiter le navigateur d'un utilisateur authentifié sur un wiki utilisant l'extension TableProgressTracking. En créant une page web malveillante, l'attaquant peut forcer le navigateur de la victime à exécuter des actions authentifiées, telles que la suppression ou la modification du suivi de progression des tables. L'impact est limité à l'environnement MediaWiki et dépend du niveau d'accès de l'utilisateur compromis. Bien que la sévérité soit classée comme faible, l'exploitation réussie pourrait entraîner une altération des données de suivi de progression et potentiellement affecter l'intégrité des informations sur le wiki.
La vulnérabilité CVE-2025-67646 a été publiée le 10 décembre 2025. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation confirmée.
Wikis utilizing the TableProgressTracking extension in versions 1.2.0 and below are at risk. This includes organizations relying on MediaWiki for project tracking, task management, or other progress-related workflows. Shared hosting environments where multiple MediaWiki instances share the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php / web: Examine MediaWiki extension directories for versions prior to 1.2.1. Check access logs for suspicious requests targeting the TableProgressTracking REST API endpoints without proper CSRF tokens.
find /var/www/mediawiki/extensions/ -name "TableProgressTracking*" -type d -print0 | xargs -0 stat -c '%n %y'• php / web: Review MediaWiki's audit logs for unusual activity related to table creation or deletion. Look for requests originating from unexpected IP addresses. • generic web: Monitor for unusual activity within the MediaWiki installation, such as unexpected table modifications or data inconsistencies.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'extension TableProgressTracking vers la version 1.2.1 ou supérieure, qui inclut la validation CSRF. En attendant la mise à jour, il est possible de limiter l'exposition de l'API REST en configurant MediaWiki pour restreindre l'accès à certains utilisateurs ou adresses IP. Il est également recommandé de sensibiliser les utilisateurs aux risques de CSRF et de les encourager à ne pas cliquer sur des liens suspects. Après la mise à jour, vérifiez que la validation CSRF est correctement implémentée en testant l'API REST avec des requêtes malveillantes simulées.
Mettez à jour l'extension TableProgressTracking à la version 1.2.1 ou supérieure. Cette version corrige la vulnérabilité CSRF dans l'API REST. La mise à jour empêchera les attaquants d'exécuter des actions non autorisées au nom des utilisateurs authentifiés.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67646 is a Cross-Site Request Forgery (CSRF) vulnerability in the TableProgressTracking MediaWiki extension, allowing attackers to perform actions as authenticated users.
You are affected if you are using TableProgressTracking MediaWiki extension versions 1.2.0 or earlier.
Upgrade the TableProgressTracking extension to version 1.2.1 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
There is no confirmed active exploitation of CVE-2025-67646 as of December 10, 2025, but vigilance is still advised.
Refer to the official MediaWiki security advisories for details and updates regarding CVE-2025-67646.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.