MediaWiki < 1.19.22 / 1.22.14 / 1.23.7 の複数の脆弱性
high Nessus プラグイン ID 80121
Language:
概要
リモート Web サーバーに、複数の脆弱性の影響を受けるアプリケーションが、含まれています。説明
バージョン番号によると、リモートホストで実行されている MediaWiki アプリケーションは、次の脆弱性による影響を受けます。- wikitext のプレビュー処理に関連する入力検証エラーが存在し、これにより、クロスサイトスクリプティング攻撃の可能性があります。(CVE-2014-9276)
- フラッシュポリシーマングリング、API クライアント、および「format=php」に関連する入力検証エラーが存在し、これにより、クロスサイトスクリプティングの可能性があります。(CVE-2014-9277)
- 「content model」編集に関連するエラーが存在し、これにより、権限のないリモートの攻撃者がユーザーの「common.js」ファイルを変更する可能性があります。(バグ 70901)
- エントリの削除に関連するエラーが存在します。「DELETED_ACTION」と「revdeleted」アクションにより、ログファイルを介する情報漏洩が起こる可能性があります。(バグ 72222)
Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。
ソリューション
MediaWiki バージョン 1.19.22 / 1.22.14 / 1.23.7 以降にアップグレードしてください。参考資料
http://www.nessus.org/u?7796737d
https://www.mediawiki.org/wiki/Release_notes/1.19#MediaWiki_1.19.22
https://www.mediawiki.org/wiki/Release_notes/1.22#MediaWiki_1.22.14
http://www.mediawiki.org/wiki/Release_notes/1.23#MediaWiki_1.23.7
プラグインの詳細
深刻度: High
ID: 80121
ファイル名: mediawiki_1_23_7.nasl
バージョン: 1.9
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/12/19
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-9277
脆弱性情報
CPE: cpe:/a:mediawiki:mediawiki
必要な KB アイテム: www/PHP, Settings/ParanoidReport, installed_sw/MediaWiki
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/11/27
脆弱性公開日: 2014/11/26
参照情報
CVE: CVE-2014-9276, CVE-2014-9277
BID: 71473