MediaWiki < 1.18.5/1.19.2 多种漏洞
high Nessus 插件 ID 62358
语言:
简介
远程 Web 服务器包含受到多种漏洞影响的 PHP 应用程序。描述
根据其版本号,远程主机上运行的 MediaWiki 实例受到多种安全漏洞的影响:- 存在一个存储的跨站脚本(HTML 注入)漏洞,原因是应用程序无法充分审查用户提供的通过评论提交到不存在的图像的“File:”标签的输入。(CVE-2012-4377)
- 存在多种基于 DOM 的跨站脚本漏洞,原因是应用程序无法充分审查用户向各种语言 Wikipedia 上的“uselang”参数和 JavaScript 小工具提供的输入。(CVE-2012-4378)
- 存在一个跨站请求伪造 (XSRF) 漏洞,原因是应用程序在使用了 X-Frame-Options 标头时未正确验证请求。(CVE-2012-4379)
- 存在一个安全绕过漏洞,原因是应用程序无法阻止为通过“GlobalBlocking”扩展阻断的 IP 地址创建帐户。
(CVE-2012-4380)
- 存在一个安全绕过漏洞,原因是应用程序无法阻止在不存在的帐户的外部认证系统中使用旧密码。(CVE-2012-4381)
- 管理员尝试阻断已被阻断的用户时会发生信息泄露。这样会将阻断理由泄露给第二个管理员,不论该管理员的权限为何。(CVE-2012-4382)
请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。
解决方案
升级到 MediaWiki 1.18.5 / 1.19.2 或更高版本。另见
http://www.nessus.org/u?d93d9844
https://www.mediawiki.org/wiki/Release_notes/1.18#MediaWiki_1.18.5
https://www.mediawiki.org/wiki/Release_notes/1.19#MediaWiki_1.19.2
插件详情
严重性: High
ID: 62358
文件名: mediawiki_1_18_5.nasl
版本: 1.11
类型: remote
系列: CGI abuses
发布时间: 2012/9/27
最近更新时间: 2022/4/11
配置: 启用偏执模式, 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 4.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2012-4380
CVSS v3
风险因素: High
基本分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞信息
CPE: cpe:/a:mediawiki:mediawiki
必需的 KB 项: www/PHP, Settings/ParanoidReport, installed_sw/MediaWiki
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/8/31
漏洞发布日期: 2012/8/31
参考资料信息
CVE: CVE-2012-4377, CVE-2012-4378, CVE-2012-4379, CVE-2012-4380, CVE-2012-4381, CVE-2012-4382
BID: 55370