Összefoglaló
A MediaWiki két sérülékenységtől vált meg a legújabb frissítésének köszönhetően. E sérülékenységek eddig adatlopásra, adatmanipulációkra és biztonsági megkötések megkerülésére adhattak módot.
Leírás
Az egyik biztonsági hiba az OutputHandler.php állományban található, amely esetenként nem ellenőrzi megfelelően a bemeneti adatokat, mielőtt meghívná az unserialize() függvényt. Ennek hatására az elkövetők tetszőleges fájlokat írhatnak felül, tartalmakat manipulálhatnak, vagy PHP kódokat futtathatnak.
A másik sérülékenység a tartalomkezelő modult érinti, és olyan CSS, illetve JavaScript állományok módosítását teszi lehetővé, ami máskülönben nem lenne engedélyezett.
Megoldás
A MediaWiki 1.23.7-es, 1.22.14-es vagy 1.19.22-es verzióira történő frissítése.
Támadás típusa
Manipulation of dataHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mediawiki.org
Egyéb referencia: www.isbk.hu
CVE-2014-9277 - NVD CVE-2014-9277