検出

FreeBSD: mediawiki -- 複数の脆弱性(298829e2-ccce-11e7-92e4-000c29649f92)

critical Nessus プラグイン ID 104693

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

mediawikiによる報告:

セキュリティ修正:

T128209:api.phpからの反射型ファイルダウンロード。Abdullah Hussam氏による報告。

T165846:BotPasswordsがログイン試行を制限しません。

T134100:プライベートWikiでは、ログインフォームで無効なユーザー名とパスワードによるログイン失敗を区別する必要がありません。

T178451:$wgShowExceptionDetails = falseの場合のXSSとブラウザが非標準のURLエスケープを送信します。

T176247:未加工のメッセージパラメーター拡張を介してHTMLが分割される可能性があります。

T125163: 見出しのID属性で未加工が許可されます。

T124404: ルール定義の後ろに大量のジャンクを追加することによって、言語コンバーターがタグ内のテキストを置き換えるように騙される可能性があります。

T119158:言語コンバーター: 用語集ルールを介した危険な属性インジェクション。

T180488: プレーンテキストでパスワードが含まれているapi.logが正しく修正されていませんでした。

T180231: composer.jsonには、既知のセキュリティ問題があるPHPUnitのrequire-devバージョンがあります。Tom Hutchison氏による報告。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?0f53f1a4

http://www.nessus.org/u?db3e8336

プラグインの詳細

深刻度: Critical

ID: 104693

ファイル名: freebsd_pkg_298829e2ccce11e792e4000c29649f92.nasl

バージョン: 3.6

タイプ: local

公開日: 2017/11/20

更新日: 2022/12/5

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.0

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:mediawiki127, p-cpe:/a:freebsd:freebsd:mediawiki128, p-cpe:/a:freebsd:freebsd:mediawiki129, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2017/11/19

脆弱性公開日: 2017/11/14

CISA の既知の悪用された脆弱性の期限日: 2022/8/15

参照情報

CVE: CVE-2017-0361, CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815, CVE-2017-9841