漏洞信息详情
MediaWiki CheckUser扩展跨站请求伪造漏洞
- CNNVD编号:CNNVD-201309-031
- 危害等级: 中危
- CVE编号: CVE-2013-4306
- 漏洞类型: 跨站请求伪造
- 发布时间: 2013-09-06
- 威胁类型: 远程
- 更新时间: 2019-07-19
- 厂 商: mediawiki
- 漏洞来源: Alex Monk
漏洞简介
MediaWiki是美国维基媒体(Wikimedia)基金会和MediaWiki志愿者共同开发维护的一套自由免费的基于网络的Wiki引擎,它可用于部署内部的知识管理和内容管理系统。CheckUser是其中的一个用于检查IP是否被用于指定用户名的扩展。
MediaWiki的CheckUser扩展2.3之前的版本中的api/ApiQueryCheckUser.php脚本中存在跨站请求伪造漏洞,该漏洞源于CheckUser扩展没有正确过滤用户提交的输入。远程攻击者可通过发送畸形的HTTP请求利用该漏洞劫持任意用户的身份认证。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-September/000133.HTML
参考网址
来源:CONFIRM
链接:https://bugzilla.wikimedia.org/show_bug.cgi?id=45019
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/86893
来源:BID
链接:https://www.securityfocus.com/bid/62210
来源:OSVDB
链接:http://osvdb.org/96908
来源:MLIST
链接:http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-September/000133.HTML
来源:MLIST
链接:http://seclists.org/oss-sec/2013/q3/553
来源:CONFIRM
链接:https://git.wikimedia.org/commit/mediawiki%2Fextensions%2FCheckUser.git/99ad25d066ce6111e798427cba7f21526827f651
受影响实体
- Mediawiki Mediawiki:1.21.1
- Mediawiki Mediawiki:1.20.6
- Mediawiki Mediawiki:1.19.7
- Mediawiki Checkuser:2.3:-:~~~Mediawiki~~
补丁
- MediaWiki CheckUser扩展跨站请求伪造漏洞的修复措施
评论