正文

MediaWiki getid3文件读取漏洞

admin
admin V管理员 /0 评论 /22 阅读
0424
此篇文章发布距今已超过1105天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2014-9487

利用情况

暂无

补丁情况

N/A

披露时间

2017-10-18
漏洞描述
MediaWiki是美国维基媒体(Wikimedia)基金会和MediaWiki志愿者共同开发维护的一套自由免费的基于网络的Wiki引擎,它可用于部署内部的知识管理和内容管理系统。getid3 library是其中的一个用于提取媒体文件信息的库。
MediaWiki中的getid3库存在安全漏洞。远程攻击者可通过实施外部实体注入攻击利用该漏洞读取任意文件,造成拒绝服务。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-December/000173.html
参考链接
http://www.openwall.com/lists/oss-security/2015/01/03/13
https://bugzilla.redhat.com/show_bug.cgi?id=1175828
https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-December/000173.html
https://security.gentoo.org/glsa/201502-04
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 mediawiki mediawiki 1.19 -
运行在以下环境
应用 mediawiki mediawiki 1.19.0 -
运行在以下环境
应用 mediawiki mediawiki 1.19.1 -
运行在以下环境
应用 mediawiki mediawiki 1.19.10 -
运行在以下环境
应用 mediawiki mediawiki 1.19.11 -
运行在以下环境
应用 mediawiki mediawiki 1.19.12 -
运行在以下环境
应用 mediawiki mediawiki 1.19.13 -
运行在以下环境
应用 mediawiki mediawiki 1.19.14 -
运行在以下环境
应用 mediawiki mediawiki 1.19.15 -
运行在以下环境
应用 mediawiki mediawiki 1.19.16 -
运行在以下环境
应用 mediawiki mediawiki 1.19.17 -
运行在以下环境
应用 mediawiki mediawiki 1.19.18 -
运行在以下环境
应用 mediawiki mediawiki 1.19.19 -
运行在以下环境
应用 mediawiki mediawiki 1.19.2 -
运行在以下环境
应用 mediawiki mediawiki 1.19.20 -
运行在以下环境
应用 mediawiki mediawiki 1.19.21 -
运行在以下环境
应用 mediawiki mediawiki 1.19.22 -
运行在以下环境
应用 mediawiki mediawiki 1.19.3 -
运行在以下环境
应用 mediawiki mediawiki 1.19.4 -
运行在以下环境
应用 mediawiki mediawiki 1.19.5 -
运行在以下环境
应用 mediawiki mediawiki 1.19.6 -
运行在以下环境
应用 mediawiki mediawiki 1.19.7 -
运行在以下环境
应用 mediawiki mediawiki 1.19.8 -
运行在以下环境
应用 mediawiki mediawiki 1.19.9 -
运行在以下环境
应用 mediawiki mediawiki 1.22.0 -
运行在以下环境
应用 mediawiki mediawiki 1.22.1 -
运行在以下环境
应用 mediawiki mediawiki 1.22.10 -
运行在以下环境
应用 mediawiki mediawiki 1.22.11 -
运行在以下环境
应用 mediawiki mediawiki 1.22.12 -
运行在以下环境
应用 mediawiki mediawiki 1.22.13 -
运行在以下环境
应用 mediawiki mediawiki 1.22.14 -
运行在以下环境
应用 mediawiki mediawiki 1.22.2 -
运行在以下环境
应用 mediawiki mediawiki 1.22.3 -
运行在以下环境
应用 mediawiki mediawiki 1.22.4 -
运行在以下环境
应用 mediawiki mediawiki 1.22.5 -
运行在以下环境
应用 mediawiki mediawiki 1.22.6 -
运行在以下环境
应用 mediawiki mediawiki 1.22.7 -
运行在以下环境
应用 mediawiki mediawiki 1.22.8 -
运行在以下环境
应用 mediawiki mediawiki 1.22.9 -
运行在以下环境
应用 mediawiki mediawiki 1.23.0 -
运行在以下环境
应用 mediawiki mediawiki 1.23.1 -
运行在以下环境
应用 mediawiki mediawiki 1.23.2 -
运行在以下环境
应用 mediawiki mediawiki 1.23.3 -
运行在以下环境
应用 mediawiki mediawiki 1.23.4 -
运行在以下环境
应用 mediawiki mediawiki 1.23.5 -
运行在以下环境
应用 mediawiki mediawiki 1.23.6 -
运行在以下环境
应用 mediawiki mediawiki 1.23.7 -
运行在以下环境
应用 mediawiki mediawiki 1.24.0 -
CVSS3评分 9.8
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-611 XML外部实体引用的不恰当限制(XXE)