Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

MediaWiki : Vulnérabilités Diverses

22/01/2007 12H37
Référence Secunia : SA14360 
Date de publication : 2005-02-22
Dernière mise à jour : 2005-02-28

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité, Cross Site Scripting, Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
MediaWiki 1.x

Référence CVE :
CVE-2005-0536


Description :
Quelques vulnérabilités ont été identifiées dans MediaWiki, qui pourraient être exploitées par des utilisateurs malicieux pour supprimer des fichiers arbitraires, et par des personnes malintentionnées pour conduire des attaques cross-site scripting et contourner certaines restrictions de sécurité.

1) Une certaine entrée non spécifiée dans le link formatting n'est pas contrôlée correctement avant d'être renvoyée à l'utilisateur. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site vulnérable.

2) L'entrée passée à un paramètre non-spécifié en supprimant images n'est pas contrôlée correctement. Cela pourrait être exploité par authentifié administrators pour supprimer des fichiers arbitraires via des attaques pour traverser les répertoires.

3) Various actions nécessitant authentification peut être exécuté via an off-site form. Cela pourrait être exploité pour exécuter divers actions en poussant un utilisateur authentifié à visiter un site web malicieux.


Solutions :
Mettre à jour en version 1.3.11.
http://sourceforge.net/project/showfiles.php?group_id=34373


Vulnérabilité découverte par :

Vulnérabilité découverte par l'éditeur.
Historique :
2005-02-28: Références CVE ajoutées.




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.