Plataforma
php
Componente
tableprogresstracking
Corrigido em
1.2.2
A vulnerabilidade CVE-2025-67646 afeta a extensão TableProgressTracking do MediaWiki, utilizada para rastrear o progresso em critérios específicos. A falta de validação de token CSRF na API REST permite que um atacante execute ações autenticadas em nome de um usuário, como a exclusão ou modificação de tabelas. As versões 1.2.0 e anteriores são vulneráveis, sendo corrigido o problema na versão 1.2.1.
Um atacante pode explorar esta vulnerabilidade criando uma página maliciosa que, ao ser acessada por um usuário autenticado em um wiki com a extensão TableProgressTracking habilitada, executa ações não intencionais. Isso pode incluir a exclusão de tabelas de progresso, a alteração de dados de progresso ou a criação de novas entradas falsas. O impacto potencial é a corrupção de dados, a manipulação de relatórios de progresso e, em cenários mais amplos, a comprometimento da integridade das informações rastreadas pelo MediaWiki. A ausência de validação CSRF torna a exploração relativamente simples, exigindo apenas a criação de um payload malicioso e a indução do usuário a acessá-lo.
A vulnerabilidade CVE-2025-67646 foi divulgada em 2025-12-10. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração CSRF é bem compreendida e relativamente fácil de implementar.
Wikis utilizing the TableProgressTracking extension in versions 1.2.0 and below are at risk. This includes organizations relying on MediaWiki for project tracking, task management, or other progress-related workflows. Shared hosting environments where multiple MediaWiki instances share the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php / web: Examine MediaWiki extension directories for versions prior to 1.2.1. Check access logs for suspicious requests targeting the TableProgressTracking REST API endpoints without proper CSRF tokens.
find /var/www/mediawiki/extensions/ -name "TableProgressTracking*" -type d -print0 | xargs -0 stat -c '%n %y'• php / web: Review MediaWiki's audit logs for unusual activity related to table creation or deletion. Look for requests originating from unexpected IP addresses. • generic web: Monitor for unusual activity within the MediaWiki installation, such as unexpected table modifications or data inconsistencies.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-67646 é a atualização da extensão TableProgressTracking para a versão 1.2.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de proteção adicionais, como restringir o acesso à API REST apenas a usuários confiáveis ou implementar um firewall de aplicação web (WAF) com regras para detectar e bloquear solicitações CSRF. Monitore os logs do MediaWiki em busca de atividades suspeitas, como solicitações não autorizadas à API REST. Após a atualização, confirme a correção verificando se a API REST agora exige um token CSRF válido para todas as solicitações.
Atualize a extensão TableProgressTracking para a versão 1.2.1 ou superior. Esta versão corrige a vulnerabilidade CSRF na API REST. A atualização impedirá que atacantes executem ações não autorizadas em nome dos usuários autenticados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-67646 is a Cross-Site Request Forgery (CSRF) vulnerability in the TableProgressTracking MediaWiki extension, allowing attackers to perform actions as authenticated users.
You are affected if you are using TableProgressTracking MediaWiki extension versions 1.2.0 or earlier.
Upgrade the TableProgressTracking extension to version 1.2.1 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
There is no confirmed active exploitation of CVE-2025-67646 as of December 10, 2025, but vigilance is still advised.
Refer to the official MediaWiki security advisories for details and updates regarding CVE-2025-67646.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.