偵測

Debian dla-4428mediawiki - 安全性更新

medium Nessus Plugin ID 280692

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機已安裝受到多個弱點影響的套件如 dla-4428 公告中所提及。

 -------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4428-1 [email protected] https://www.debian.org/lts/security/Guilhem Moulin 2025 年 12 月 30 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

 套件 mediawiki 版本 1:1.35.13-1+deb11u6 CVE ID CVE-2025-67475 CVE-2025-67478 CVE-2025-67479 CVE-2025-67480 CVE-2025-67481 CVE-2025-67482 CVE-2025-67484

 在 mediawiki (適用於共同作業的網站引擎) 中發現多個安全性弱點可導致資訊洩漏、拒絕服務或權限提升。

 CVE-2025-67475

 自動註解連結中的方括弧並非一律逸出。

 CVE-2025-67478

 逗號未分隔 RFC 2822 樣式標頭中的值並未逸出因此可被解譯為下游值分隔符號。

 CVE-2025-67479

 底線和寬底線並非一律在 `data-*` 屬性名稱中清理。

 CVE-2025-67480

 ApiQueryRevisionsBase 未檢查目標頁面的讀取權限。

 CVE-2025-67481

 用戶端訊息中的 `style` 屬性清理不足 (jqueryMsg)。

 由於此類屬性難以正確清理 (瀏覽器供應商開發新的 CSS 功能時邏輯必須不斷更新)且其在用戶端訊息中的使用案例極為罕見因此不再允許使用。

 如果需要仍然允許使用 `class` 和 `id`因此這些元素可以成為一般樣式表的目標。

 CVE-2025-67482

 Scribunto 延伸模組unpack() 中含有影響部分 Lua 版本的大整數之分割錯誤。

 CVE-2025-67484

 透過 xslt 選項對具有 editinterface 權限的使用者造成跨網站指令碼 (XSS) 弱點。xslt 選項現在預設為停用。若想要之前的不安全行為將 `$wgEnableUnsafeXsltOption` 設為 true可重新啟用 。

 針對 Debian 11bullseye這些問題已在版本 1:1.35.13-1+deb11u6 中修正。

 建議您升級 mediawiki 套件。

 如需有關 mediawiki 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
 https://security-tracker.debian.org/tracker/mediawiki

 有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 mediawiki 套件。

另請參閱

https://security-tracker.debian.org/tracker/source-package/mediawiki

https://security-tracker.debian.org/tracker/CVE-2025-67475

https://security-tracker.debian.org/tracker/CVE-2025-67478

https://security-tracker.debian.org/tracker/CVE-2025-67479

https://security-tracker.debian.org/tracker/CVE-2025-67480

https://security-tracker.debian.org/tracker/CVE-2025-67481

https://security-tracker.debian.org/tracker/CVE-2025-67482

https://security-tracker.debian.org/tracker/CVE-2025-67484

https://packages.debian.org/source/bullseye/mediawiki

Plugin 詳細資訊

嚴重性: Medium

ID: 280692

檔案名稱: debian_DLA-4428.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2025/12/30

已更新: 2025/12/30

支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 8.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2025-67484

CVSS v3

風險因素: Medium

基本分數: 5.4

時間性分數: 4.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:mediawiki-classes, p-cpe:/a:debian:debian_linux:mediawiki

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/12/30

弱點發布日期: 2025/12/30

參考資訊

CVE: CVE-2025-67475, CVE-2025-67478, CVE-2025-67479, CVE-2025-67480, CVE-2025-67481, CVE-2025-67482, CVE-2025-67484