MediaWiki维基文本解析器跨站脚本攻击漏洞

漏洞信息详情

MediaWiki维基文本解析器跨站脚本攻击漏洞

• CNNVD编号：CNNVD-201104-307
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-1579
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2011-04-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-04-27
  
• 厂        商：
  
  mediawiki
• 漏洞来源：

MediaWiki是美国维基媒体（Wikimedia）基金会和MediaWiki志愿者共同开发维护的一套自由免费的基于网络的Wiki引擎，它可用于部署内部的知识管理和内容管理系统。

MediaWiki 1.16.3之前版本的维基文本解析器中的includes/Sanitizer.php的checkCss功能没有准确验证层叠样式表（CSS）令牌序列。远程攻击者可以通过使用＼2f＼2a和＼2a＼2f十六进制字符串包围CSS注释来执行跨站脚本攻击或者获取敏感信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.3.tar.gz

来源: bugzilla.wikimedia.org

链接:https://bugzilla.wikimedia.org/show_bug.cgi?id=28450

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=696360

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=695577

来源: XF

名称: mediawiki-css-data-xss(66738)

链接:http://xforce.iss.net/xforce/xfdb/66738

来源: VUPEN

名称: ADV-2011-0978

链接:http://www.vupen.com/english/advisories/2011/0978

来源: BID

名称: 47354

链接:http://www.securityfocus.com/bid/47354

来源: www.mediawiki.org

链接:http://www.mediawiki.org/wiki/Special:Code/MediaWiki/85856

来源: SECUNIA

名称: 44142

链接:http://secunia.com/advisories/44142

来源: MLIST

名称: [oss-security] 20110413 Re: CVE request: mediawiki 1.16.3

链接:http://openwall.com/lists/oss-security/2011/04/13/15

来源: MLIST

名称: [mediawiki-announce] 20110412 MediaWiki security release 1.16.3

链接:http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000096.html

来源: FEDORA

名称: FEDORA-2011-5495

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-April/058588.html