Összefoglaló
A MediaWiki sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting támadást idézhetnek elő.
Leírás
A “Special:PasswordReset” oldal “Username” paraméterének bemenete nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kód futatható a felhasználó böngészőjének munkamenetében az érintett oldalon.
Sikeres kihasználáshoz szükséges, hogy a “2wgRawHtml” engedélyezve legyen.
A sérülékenységeket az 1.19.16, 1.21.10 és 1.22.7. előtti verziókból jelentették.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen az 1.19.16, 1.21.10 vagy 1.22.7 verziókra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: lists.wikimedia.org
SECUNIA 58896
CVE-2014-3966 - NVD CVE-2014-3966
