低危 MediaWiki 1.19.18/1.19.19/1.22.11/1.23.3/1.23.4 跨站脚本攻击

CVE编号

CVE-2014-7295

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-10-08

漏洞描述

MediaWiki是一款Wiki程序。 Mediawiki 'OutputPage.php'存在跨站脚本漏洞。允许已通过身份验证的远程用户通过精心编制的CSS进行跨站点脚本攻击或有未明的其他影响。

解决建议

请安装厂商已发布的最新版本或补丁：https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-October/000163.html

参考链接
http://seclists.org/oss-sec/2014/q4/67
http://secunia.com/advisories/61752
http://www.debian.org/security/2014/dsa-3046
http://www.securityfocus.com/bid/70238
https://bugzilla.wikimedia.org/show_bug.cgi?id=70672
https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-October/000163.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mediawiki	mediawiki	*		Up to (including) 1.19.19
	运行在以下环境
	应用	mediawiki	mediawiki	1.19	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.10	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.11	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.12	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.13	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.14	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.15	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.16	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.17	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.18	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.5	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.6	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.7	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.8	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.19.9	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.10	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.11	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.5	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.6	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.22.7	-
	运行在以下环境
应用	mediawiki	mediawiki	1.22.8	-
运行在以下环境
应用	mediawiki	mediawiki	1.22.9	-
运行在以下环境
应用	mediawiki	mediawiki	1.23.0	-
运行在以下环境
应用	mediawiki	mediawiki	1.23.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.23.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.23.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.23.4	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 1:1.19.20+dfsg-1
运行在以下环境
系统	debian_10	mediawiki	*		Up to (excluding) 1:1.19.20+dfsg-1
运行在以下环境
系统	debian_11	mediawiki	*		Up to (excluding) 1:1.19.20+dfsg-1
运行在以下环境
系统	debian_12	mediawiki	*		Up to (excluding) 1:1.19.20+dfsg-1
运行在以下环境
系统	debian_7	mediawiki	*		Up to (excluding) 1:1.19.20+dfsg-0+deb7u1
运行在以下环境
系统	debian_sid	mediawiki	*		Up to (excluding) 1:1.19.20+dfsg-1
运行在以下环境
系统	fedora_21	mediawiki	*		Up to (excluding) 1.23.5-1.fc21
运行在以下环境
系统	fedora_EPEL_6	mediawiki119	*		Up to (excluding) 1.19.20-1.el6
运行在以下环境
系统	ubuntu_18.04.5_lts	mediawiki	*		Up to (excluding) 1:1.19.20+dfsg-1
运行在以下环境
系统	ubuntu_18.10	mediawiki	*		Up to (excluding) 1:1.19.20+dfsg-1

阿里云评分 3.4

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com