CVE-2025-32956

ManageWiki is a MediaWiki extension allowing users to manage wikis. Versions before commit f504ed8, are vulnerable to SQL injection when renaming a namespace in Special:ManageWiki/namespaces when using a page prefix (namespace name, which is the current namespace you are renaming) with an injection payload. This issue has been patched in commit f504ed8. A workaround for this vulnerability involves setting `$wgManageWiki['namespaces'] = false;`.

CVSS v3 8.0 HIGH

8.0^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.1 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/miraheze/ManageWiki/commit/f504ed8eeb59b57ebb90f93cd44f23da4c5bc4c9
https://github.com/miraheze/ManageWiki/security/advisories/GHSA-gg42-cv66-f5x7

Configurations

No configuration.

History

23 Apr 2025, 14:08

Type	Values Removed	Values Added
Summary		(es) ManageWiki es una extensión de MediaWiki que permite a los usuarios administrar wikis. Las versiones anteriores a el commit f504ed8 son vulnerables a la inyección de SQL al renombrar un espacio de nombres en Special:ManageWiki/namespaces al usar un prefijo de página (nombre del espacio de nombres, que corresponde al espacio de nombres actual que se está renombrando) con un payload de inyección. Este problema se ha corregido en el commit f504ed8. Un workaround para esta vulnerabilidad consiste en configurar `$wgManageWiki['namespaces'] = false;`.

21 Apr 2025, 21:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-04-21 21:15

Updated : 2025-04-23 14:08

NVD link : CVE-2025-32956

Mitre link : CVE-2025-32956

CVE.ORG link : CVE-2025-32956

JSON object : View

Products Affected

No product.

CWE

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

8.0 /10