MediaWiki < 1.19.18 / 1.22.9 / 1.23.2 多种漏洞
medium Nessus 插件 ID 77183
语言:
简介
远程 Web 服务器包含受到多种漏洞影响的应用程序。描述
根据其版本号,远程主机上运行的 MediaWiki 实例受到以下漏洞的影响:- 存在因未向 JSONP 回调预置注释造成的缺陷。远程攻击者可利用此缺陷,通过使用特别构建的 SWF 文件执行跨站请求伪造攻击。(CVE-2014-5241)
-“mediawiki.page.image.pagination.js”脚本内存在一个跨站脚本漏洞,原因是函数“ajaxifyPageNavigation”调用“loadPage”时,未能验证用户提供的输入。远程攻击者可利用此漏洞,通过使用特别构建的请求,在浏览器与服务器之间的信任关系中执行任意脚本代码。
(CVE-2014-5242)
- iFrame 保护机制存在与“OutputPage”和“ParserOutput”有关的缺陷,远程攻击者可利用此缺陷发起点击劫持攻击。
(CVE-2014-5243)
请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。
解决方案
升级到 MediaWiki 版本 1.19.18 / 1.22.9 / 1.23.2 或更高版本。另见
http://www.nessus.org/u?1ee4304d
https://www.mediawiki.org/wiki/Release_notes/1.19#MediaWiki_1.19.18
https://www.mediawiki.org/wiki/Release_notes/1.22#MediaWiki_1.22.9
https://www.mediawiki.org/wiki/Release_notes/1.23#MediaWiki_1.23.2
插件详情
严重性: Medium
ID: 77183
文件名: mediawiki_1_23_2.nasl
版本: 1.14
类型: remote
系列: CGI abuses
发布时间: 2014/8/13
最近更新时间: 2022/4/11
配置: 启用偏执模式, 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: cpe:/a:mediawiki:mediawiki
必需的 KB 项: www/PHP, Settings/ParanoidReport, installed_sw/MediaWiki
易利用性: No known exploits are available
补丁发布日期: 2014/7/30
漏洞发布日期: 2014/6/14