漏洞信息详情
MediaWiki Wiki页跨站攻击漏洞
- CNNVD编号:CNNVD-200812-374
- 危害等级: 低危
- CVE编号: CVE-2008-5250
- 漏洞类型: 跨站脚本
- 发布时间: 2008-12-19
- 威胁类型: 远程
- 更新时间: 2009-02-20
- 厂 商: mediawiki
- 漏洞来源: David Remahl
漏洞简介
MediaWiki是一套最早为维基百科量身打造的自由免费的wiki套件。 MediaWiki 1.6.11之前的版本,1.12.2之前的版本1.12.x,和1.13.3之前的版本1.13.x中存在跨站脚本攻击漏洞, 当Internet Explorer被使用且上传被激活时, 或者一个SVG脚本浏览器被使用且SVG上传被激活时,远程验证用户通过编辑一个wiki页,注入任意web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: Debian Linux 4.0 arm Debian mediawiki1.7-math_1.7.1-9etch1_arm.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7-math_1.7.1-9etch1_arm.deb Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 powerpc Debian mediawiki1.7-math_1.7.1-9etch1_powerpc.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7-math_1.7.1-9etch1_powerpc.deb Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 m68k Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 amd64 Debian mediawiki1.7-math_1.7.1-9etch1_amd64.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7-math_1.7.1-9etch1_amd64.deb Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 ia-32 Debian mediawiki1.7-math_1.7.1-9etch1_i386.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7-math_1.7.1-9etch1_i386.deb Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 hppa Debian mediawiki1.7-math_1.7.1-9etch1_hppa.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7-math_1.7.1-9etch1_hppa.deb Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 sparc Debian mediawiki1.7-math_1.7.1-9etch1_sparc.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7-math_1.7.1-9etch1_sparc.deb Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 s/390 Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 alpha Debian mediawiki1.7-math_1.7.1-9etch1_alpha.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7-math_1.7.1-9etch1_alpha.deb Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb Debian Linux 4.0 armel Debian mediawiki1.7_1.7.1-9etch1_all.deb http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1 .7_1.7.1-9etch1_all.deb
参考网址
来源: SECUNIA 名称: 33133 ; Patch Information 链接:http://secunia.com/advisories/33133 来源: MLIST 名称: [mediawiki-announce] 20081215 MediaWiki 1.13.3, 1.12.2, 1.6.11 security update ; Patch Information 链接:http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.HTML 来源: FEDORA 名称: FEDORA-2008-11802 链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01309.HTML 来源: FEDORA 名称: FEDORA-2008-11688 链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01256.HTML 来源: BID 名称: 32844 链接:http://www.securityfocus.com/bid/32844 来源: DEBIAN 名称: DSA-1901 链接:http://www.debian.org/security/2009/dsa-1901 来源: SECUNIA 名称: 33349 链接:http://secunia.com/advisories/33349 来源: SUSE 名称: SUSE-SR:2009:004 链接:http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.HTML
受影响实体
- Mediawiki Mediawiki:1.6.11
- Mediawiki Mediawiki:1.12.0
- Mediawiki Mediawiki:1.13.0
- Mediawiki Mediawiki:1.13.1
- Mediawiki Mediawiki:1.12.1
补丁
暂无
评论