MediaWiki多个信息泄露漏洞

漏洞起因
设计错误
危险等级

影响系统
Mediawiki 1.17

不受影响系统
Mediawiki 1.17.1

危害
远程攻击者利用漏洞获得敏感信息。

攻击所需条件
攻击者必须访问MediaWiki。

漏洞信息
MediaWiki是一套以GPL授权发行的Wiki引擎。
MediaWiki存在多个安全漏洞,允许恶意用户获取敏感信息。
-当设置了”curid”参数”preliminaryChecks()”函数不正确校验请求,可泄露私人wiki上的页面标题信息。
-当处理部分AJAX请求时存在缺陷,在请求中提供文件名可识别私人WIKI中是否存在此文件。

测试方法

厂商解决方案
Mediawiki 1.17.1已经修复此漏洞,建议用户下载使用:
http://wikipedia.sourceforge.net/

漏洞提供者
Alexandre Emsenhuber and Tim Starling

发表评论?

0 条评论。

发表评论