FreeBSD：mediawiki -- 多個弱點 (7c0fecd6-f42f-11e1-b17b-000c2977ec30)

high Nessus Plugin ID 61765

語系：

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

MediaWiki 報告：

(錯誤 39700) Wikipedia 系統管理員 Writ Keeper 發現一個已儲存的 XSS (HTML 插入) 弱點。這可能是因為處理不存在檔案之 File: links 的連結文字所致。MediaWiki 1.16 和更新版本會受到影響。

(錯誤 39180) 使用者 Fomafix 報告數個 DOM 型 XSS 弱點，這可能是因為 uselang 參數的鬆散篩選和多種語言 Wikipedia 之 JavaScript Gadget 的組合所造成。

(錯誤 39180) 據發現，在內部檢閱期間，可透過 api 取得的 CSRF token 未使用 X-Frame-Options 標頭進行保護。如果 API 回應內嵌在使用 iframe 的外部網站中，這可導致一個 CSRF 弱點。

(錯誤 39824) 據發現，在內部檢閱期間，不一定允許延伸模組防止帳戶建立動作。這可讓 GlobalBlocking 延伸模組封鎖的使用者建立帳戶。

(錯誤 39184) 據發現，在內部檢閱期間，即使驗證是由 LDAP 之類的延伸模組處理，密碼資料還是一律會儲存到本機 MediaWiki 資料庫。這可能允許入侵的 MediaWiki 安裝洩漏使用者 LDAP 密碼的相關資訊。此外，當驗證外掛程式在其 strict 函式中傳回 false 時，這將允許舊密碼無限期地用於外部系統中不存在的帳戶。

(錯誤 39823) 據發現，在內部檢閱期間，系統管理員可以看到擁有隱藏權限之使用者所隱藏的區塊相關詮釋資料。