Összefoglaló
A MediaWiki olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script injection) támadások okozására.
Leírás
A CSS megjegyzések által bizonyos bemeneti adat nem kerül megfelelően ellenőrzésre mielőtt a felhasználó részére megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami felhasználó böngészőjének munkamenetében kerül lefuttatásra az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
A sérülékenységet az 1.16.2. megelőző verziókban jelentették.
Megoldás
Frissítsen az 1.16.2. verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 43142
CVE-2011-0047 - NVD CVE-2011-0047
Gyártói referencia: lists.wikimedia.org
Gyártói referencia: bugzilla.wikimedia.org