MediaWiki 1.19.x < 1.19.4/1.20.x < 1.20.3 の複数の脆弱性
medium Nessus プラグイン ID 65899
Language:
概要
リモート Web サーバーには、複数の脆弱性に影響を受ける PHP アプリケーションが含まれています。説明
バージョン番号によると、リモートホストで実行中の MediaWiki のインスタンスは、次の複数のセキュリティの脆弱性の影響を受けます:- X.509 の Common Name(CN)または SubjectAltName 証明書の中のドメイン名に一致させるために、サーバーのホスト名が検証されないために、証明書検証に関連する欠陥が存在します。これにより、中間者攻撃を行う攻撃者が任意の証明書を利用して、SSL サービスを偽装する可能性があります。(CVE-2013-1816)
- API を介してユーザーをブロックする際に欠陥が存在し、機密情報の漏洩が発生する可能性があります。
(CVE-2013-1817)
- 「maintenance/mwdoc-filter.php」スクリプトのバージョン 1.20 に欠陥が存在し、特定のサーバー状態下で発生する可能性があります。リモートの攻撃者がこの問題を悪用して、任意のファイルにアクセスする可能性があります。
(CVE-2013-1818)
Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。
ソリューション
MediaWiki バージョン 1.19.4 / 1.20.3 たは以降にアップグレードしてください。参考資料
http://www.nessus.org/u?797783b7
https://www.mediawiki.org/wiki/Release_notes/1.19#MediaWiki_1.19.4
https://www.mediawiki.org/wiki/Release_notes/1.20#MediaWiki_1.20.3
プラグインの詳細
深刻度: Medium
ID: 65899
ファイル名: mediawiki_1_19_4.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses
公開日: 2013/4/10
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2013-1818
脆弱性情報
CPE: cpe:/a:mediawiki:mediawiki
必要な KB アイテム: Settings/ParanoidReport, installed_sw/MediaWiki, www/PHP
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/3/4
脆弱性公開日: 2012/12/30