MediaWiki < 1.19.8 / 1.20.7 / 1.21.2 多個弱點

high Nessus Plugin ID 70293

語系：

概要

遠端 Web 伺服器包含受到多個弱點影響的應用程式。

說明

根據其版本號碼，遠端主機上執行的 MediaWiki 執行個體受到下列弱點影響：

- 當 ResourceLoader 中指定了無效的語言時，錯誤訊息中會洩漏完整的安裝路徑。(CVE-2013-4301)

- 透過 JSONP 存取的 API 模組中存在多個跨網站要求偽造弱點。
(CVE-2013-4302)

- 存在一個跨網站指令碼弱點，因為未正確清理提交到內容名稱的輸入所導致。(CVE-2013-4303)

此外，下列延伸模組存有多個弱點，但這些模組預設為停用或不安裝 (除非另有註明)：

- 透過操控「centralauth_User」Cookie，可繞過 CentralAuth 延伸模組中的驗證。
(CVE-2013-4304)

- SyntaxHighlight GeSHi 延伸模組受到一個跨網站指令碼弱點影響，此弱點是因為在提交至「example.php」指令碼時，未正確清理使用者輸入所導致。在 MediaWiki 1.21.x 上，此延伸模組已安裝，但預設未啟用。
(CVE-2013-4305)

- CheckUser 延伸模組受到一個跨網站要求偽造弱點影響，因為它未正確驗證 HTTP 要求。(CVE-2013-4306)

- Wikibase 延伸模組會受到一個跨網站指令碼弱點影響，因為它未正確逸出實體檢視「以其他語言」區段中的標籤。(CVE-2013-4307)

- LiquidThreads 延伸模組會受到一個跨網站指令碼弱點影響，因為它未正確清理提交至 LQT 執行緒主體的使用者輸入。
(CVE-2013-4308)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。