阿里云漏洞库

漏洞描述

MediaWiki是美国维基媒体（MediaWiki）基金会的一套自由免费的基于网络的Wiki引擎。该产品可用于部署内部的知识管理和内容管理系统。

MediaWiki 存在安全漏洞，该漏洞允许远程攻击者通过 style=\"background-image： attr(title url );\" 在标题属性中具有攻击者控制的 URL 的 DIV 元素内的攻击。

解决建议

"将组件 mediawiki 升级至 .27.2-1 及以上版本"
"将组件 mediawiki-classes 升级至 .27.2-1 及以上版本"
"将组件 mediawiki/core 升级至 1.28.1 及以上版本"
"将组件 mediawiki/core 升级至 1.23.16 及以上版本"
"将组件 mediawiki/core 升级至 1.27.2 及以上版本"
"将组件 mediawiki 升级至 0.0.0 及以上版本"
"将组件 mediawiki 升级至 1:1.27.2-1 及以上版本"

参考链接
https://phabricator.wikimedia.org/T140591
https://phabricator.wikimedia.org/T68404

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mediawiki	mediawiki	*		Up to (excluding) 1.23.16
	运行在以下环境
	应用	mediawiki	mediawiki	*	From (including) 1.24.0	Up to (excluding) 1.27.2
	运行在以下环境
	应用	mediawiki	mediawiki	*	From (including) 1.28.0	Up to (excluding) 1.28.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1:1.27.2-1
	运行在以下环境
	系统	debian_10	mediawiki	*		Up to (excluding) 1:1.27.2-1
	运行在以下环境
	系统	debian_11	mediawiki	*		Up to (excluding) 1:1.27.2-1
	运行在以下环境
	系统	debian_12	mediawiki	*		Up to (excluding) 1:1.27.2-1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	mediawiki	*		Up to (excluding) 1:1.27.4-3
	运行在以下环境
	系统	ubuntu_18.10	mediawiki	*		Up to (excluding) 1:1.27.4-3

攻击路径

N/A
攻击复杂度

N/A
权限要求

N/A
影响范围

N/A
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

N/A
数据完整性

N/A
服务器危害

N/A
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

低危 MediaWiki 安全漏洞

漏洞描述

解决建议

参考链接

受影响软件情况