低危 MediaWiki 跨站脚本攻击

CVE编号

CVE-2013-2031

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-11-18

漏洞描述

MediaWiki是全球最著名的wiki程序，运行于PHP+MySQL环境。 Mediawiki存在跨站脚本漏洞。攻击者可以利用这个漏洞来执行任意脚本代码。这可能让攻击者窃取基于cookie的身份验证凭证和发动其他攻击。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.mediawiki.org/wiki/MediaWiki

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105784.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105825.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106293.html
http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-April/000129.html
http://secunia.com/advisories/55433
http://secunia.com/advisories/57472
http://security.gentoo.org/glsa/glsa-201310-21.xml
http://www.debian.org/security/2014/dsa-2891
http://www.openwall.com/lists/oss-security/2013/05/01/2
http://www.securityfocus.com/bid/59594
https://bugzilla.wikimedia.org/show_bug.cgi?id=47304

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mediawiki	mediawiki	*		Up to (including) 1.19.5
	运行在以下环境
	应用	mediawiki	mediawiki	1.1.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.10.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.11.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.12.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.13.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.14.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.14.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.1	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.2	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.3	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.4	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.15.5	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.16.0	-
	运行在以下环境
	应用	mediawiki	mediawiki	1.16.1	-
	运行在以下环境
应用	mediawiki	mediawiki	1.16.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.17	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.0	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.17.4	-
运行在以下环境
应用	mediawiki	mediawiki	1.18	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.0	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.18.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.19	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.0	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.19.4	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.1	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.2	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.3	-
运行在以下环境
应用	mediawiki	mediawiki	1.20.4	-
运行在以下环境
系统	debian_10	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	debian_11	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	debian_12	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	debian_7	mediawiki	*		Up to (excluding) 1:1.19.14+dfsg-0+deb7u1
运行在以下环境
系统	debian_sid	mediawiki	*		Up to (excluding) 1:1.19.6-1
运行在以下环境
系统	fedora_EPEL_6	mediawiki119	*		Up to (excluding) 1.19.6-1.el6
运行在以下环境
系统	gentoo	linux	*	-
运行在以下环境
系统	ubuntu_14.04.6_lts	mediawiki	*		Up to (excluding) 1:1.19.14+dfsg-1
运行在以下环境
系统	ubuntu_18.04.5_lts	mediawiki	*		Up to (excluding) 1:1.27.4-3

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com