Множественные уязвимости в MediaWiki

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и получить доступ к определенной конфиденциальной информации.

1. Уязвимость существует из-за недостаточной обработки входных данных в специально сформированных тегах CSS. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при котором вредоносные данные просматриваются.

ПРИМЕЧАНИЕ: Эта уязвимость существует из-за временного решения проблемы CVE-2013-4568.

2. Уязвимость существует из-за недостаточной обработки входных данных в специально сформированных XLS тегах в файле SVG. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при котором вредоносные данные просматриваются.

3. Уязвимость существует из-за ошибки в методе "UploadBase::detectScriptInSvg()". Удаленный пользователь может загрузить SVG файлы содержащие произвольный код сценария который будет выполнятся в браузере жертвы в контексте безопасности уязвимого сайта, при котором вредоносные данные просматриваются.

4. Уязвимость существует из-за недостаточной обработки входных данных в специально сформированных тегах CSS. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при котором вредоносные данные просматриваются.

5. Уязвимость существует из-за ошибки в журнале API, расширении Recent Changes и списке просмотра пользователей. Удаленный пользователь может получить доступ к информации с станиц которые были удалены.

URL производителя: http://www.mediawiki.org/wiki/MediaWiki

Решение: Установите последнюю версию 1.19.10, 1.21.4, or 1.22.1 с сайта производителя.