中危 fedora 安全绕过漏洞

CVE编号

CVE-2013-2032

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-11-18

漏洞描述

媒体Wiki在1.19.6和1.20.5之前不允许扩展以防止密码更改，而不使用特殊：密码重置和特殊：更改密码，这允许远程攻击者绕过仅实现这些块之一的扩展的预期限制。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105784.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105825.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106293.html
http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-April/000129.html
http://secunia.com/advisories/55433
http://security.gentoo.org/glsa/glsa-201310-21.xml
https://bugzilla.wikimedia.org/show_bug.cgi?id=46590

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mediawiki	mediawiki	*		Up to (including) 1.19.5
	运行在以下环境
	应用	mediawiki	mediawiki	1.1.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.14.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.14.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.5	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.16.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.16.1	-
	运行在以下环境
应用	mediawiki	mediawiki	1.16.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.17	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.0	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.4	-
运行在以下环境
应用	mediawiki	mediawiki	1.18	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.0	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.19	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.0	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.4	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.4	-
运行在以下环境
系统	debian_10	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	debian_11	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	debian_12	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	debian_7	mediawiki	*		Up to (excluding) 1:1.19.14+dfsg-0+deb7u1
运行在以下环境
系统	debian_sid	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	fedoraproject	fedora	17	-
运行在以下环境
系统	fedoraproject	fedora	18	-
运行在以下环境
系统	fedoraproject	fedora	19	-
运行在以下环境
系统	fedora_EPEL_6	mediawiki119	*		Up to (excluding) 1.19.6-1.el6
运行在以下环境
系统	gentoo	linux	*	-
运行在以下环境
系统	ubuntu_14.04.6_lts	mediawiki	*		Up to (excluding) 1:1.19.14+dfsg-1
运行在以下环境
系统	ubuntu_18.04.5_lts	mediawiki	*		Up to (excluding) 1:1.27.4-3

阿里云评分 5.6

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

Exp相关链接

- avd.aliyun.com