Межсайтовый скриптинг в MediaWiki

Дата публикации:
22.02.2007
Всего просмотров:
1383
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MediaWiki 1.x
Уязвимые версии: MediaWiki 1.6.x до 1.6.10, 1.7.x до1.7.3, 1.8.x до 1.8.4, 1.9.x до .1.9.3

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки UTF-7 данных в параметре "rs" в сценарии index.php (когда "action" установлен в "ajax"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости $wgUseAjax должен быть установлен в true (значение по умолчанию) и пользователь должен использовать Internet Explorer с автоматическим определением кодировки.

URL производителя: wikipedia.sourceforge.net

Решение: Установите последнюю версию (1.6.10, 1.7.3, 1.8.4, или 1.9.3) с сайта производителя.

или введите имя

CAPTCHA