MediaWiki远程任意脚本上传漏洞

漏洞信息详情

MediaWiki远程任意脚本上传漏洞

• CNNVD编号：CNNVD-200412-193
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-1405
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-12-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  mediawiki
• 漏洞来源：
  Discovery is credi…

MediaWiki 1.3.8版本及之前版本在以Apache mod_mime方式使用时，不会正确地处理带有两个文件拓展名的文件，例如：.php.rar。远程攻击者可以上传和执行任意代码。

The vendor has released MediaWiki 1.3.9 to address this issue:
MediaWiki MediaWiki 1.3

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.1

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.2

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.3

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.4

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.5

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.6

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.7

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

MediaWiki MediaWiki 1.3.8

• MediaWiki mediawiki-1.3.9.tar.gz
  
  http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.3.9.tar.gz?do
  wnload

来源: BID
名称: 11985
链接:http://www.securityfocus.com/bid/11985

来源: wikipedia.sourceforge.net
链接:http://wikipedia.sourceforge.net/

来源: BUGTRAQ
名称: 20041216 STG Security Advisory: [SSA-20041215-19] Vulnerability of uploading files with multiple extensions in MediaWiki
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110321710420059&w=2

来源: SECUNIA
名称: 13478
链接:http://secunia.com/advisories/13478/