Die Entwickler von MediaWiki haben das Sicherheitsupdate 1.35.5, 1.36.3 und 1.37.1 veröffentlicht. Das sollte umgehend installiert werden, da mehrere kritische Sicherheitslücken geschlossen werden.

Die Lücken existieren im Core von MediaWiki und ermöglichen einen Angreifer das umgehen der Autorisierung und somit uneingeschränkten Zugriff auf das Wiki.

Neben den Updates ist auch eine kurze Konfiguration der Localsettings.php veröffentlicht. Diese zeigt die Maßnahmen die gegen den Angriff ergriffen werden können, um so z.B. MediaWiki Versionen die End-of-Life sind, abzusichern. Die Einstellungen sind:

$wgActions['mcrundo'] = false;
$wgActions['mcrrestore'] = false;
$wgWhitelistRead = [];
$wgWhitelistReadRegexp = [];

Details unter: https://www.mediawiki.org/wiki/2021-12_security_release/FAQ