MediaWiki bis 1.22.6/1.21.9 InfoAction.php sortKey Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
In MediaWiki bis 1.22.6/1.21.9 wurde eine problematische Schwachstelle gefunden. Hierbei betrifft es unbekannten Programmcode der Datei mediawiki/includes/actions/InfoAction.php. Durch Beeinflussen des Arguments sortKey mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2014-2853 statt. Der Angriff lässt sich über das Netzwerk starten. Darüber hinaus steht ein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine problematische Schwachstelle in MediaWiki bis 1.22.6/1.21.9 (Content Management System) gefunden. Hiervon betroffen ist eine unbekannte Funktionalität der Datei mediawiki/includes/actions/InfoAction.php. Durch die Manipulation des Arguments sortKey mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Auswirken tut sich dies auf die Integrität. Die Zusammenfassung von CVE lautet:
Cross-site scripting (XSS) vulnerability in includes/actions/InfoAction.php in MediaWiki before 1.21.9 and 1.22.x before 1.22.6 allows remote attackers to inject arbitrary web script or HTML via the sort key in an info action.Die Schwachstelle wurde am 29.03.2014 durch Dr. Cindy Cicalese von MITRE Corporation als Bug 63251 in Form eines bestätigten Bug Reports (Bugzilla) publiziert. Das Advisory findet sich auf bugzilla.wikimedia.org. Die Herausgabe passierte in Zusammenarbeit mit dem Projektteam. Die Identifikation der Schwachstelle wird seit dem 14.04.2014 mit CVE-2014-2853 vorgenommen. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind technische Details sowie ein Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet.
Er wird als hoch funktional gehandelt. Ein Suchen von inurl:mediawiki/includes/actions/InfoAction.php lässt dank Google Hacking potentiell verwundbare Systeme finden. Für den Vulnerability Scanner Nessus wurde am 01.05.2014 ein Plugin mit der ID 73804 (MediaWiki < 1.21.9 / 1.22.6 'InfoAction.php' XSS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses : XSS zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 12811 (MediaWiki Default Sort Key "InfoAction.php" Script Insertion Vulnerability) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 1.21.9 oder 1.22.6 vermag dieses Problem zu lösen. Eine neue Version kann von releases.wikimedia.org bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von releases.wikimedia.org bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah 4 Wochen nach der Veröffentlichung der Schwachstelle. Die Entwickler haben nachweislich noch im Rahmen gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (92761), Tenable (73804), SecurityFocus (BID 67068†), Secunia (SA58262†) und SecurityTracker (ID 1030161†) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Name
Version
- 1.21.0
- 1.21.1
- 1.21.2
- 1.21.3
- 1.21.4
- 1.21.5
- 1.21.6
- 1.21.7
- 1.21.8
- 1.21.9
- 1.22.0
- 1.22.1
- 1.22.2
- 1.22.3
- 1.22.4
- 1.22.5
- 1.22.6
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73804
Nessus Name: MediaWiki < 1.21.9 / 1.22.6 'InfoAction.php' XSS
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 867788
OpenVAS Name: Fedora Update for mediawiki FEDORA-2014-5684
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: MediaWiki 1.21.9/1.22.6
Patch: releases.wikimedia.org
Timeline
29.03.2014 🔍29.03.2014 🔍
14.04.2014 🔍
24.04.2014 🔍
24.04.2014 🔍
24.04.2014 🔍
25.04.2014 🔍
25.04.2014 🔍
29.04.2014 🔍
29.04.2014 🔍
01.05.2014 🔍
12.05.2014 🔍
12.05.2026 🔍
Quellen
Produkt: mediawiki.orgAdvisory: Bug 63251
Person: Dr. Cindy Cicalese
Firma: MITRE Corporation
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2014-2853 (🔍)
GCVE (CVE): GCVE-0-2014-2853
GCVE (VulDB): GCVE-100-13071
X-Force: 92761 - MediaWiki InfoAction.php cross-site scripting, Medium Risk
SecurityFocus: 67068 - MediaWiki 'InfoAction.php' HTML Injection Vulnerability
Secunia: 58262 - MediaWiki Default Sort Key "InfoAction.php" Script Insertion Vulnerability, Less Critical
SecurityTracker: 1030161 - MediaWiki Input Validation Flaw in 'includes/actions/InfoAction.php' Permits Cross-Site Scripting Attacks
Vulnerability Center: 44447 - MediaWiki before 1.21.9 and 1.22.0 through 1.22.5 Remote XSS via the \x27SortKey\x27 Field in the \x27InfoAction\x27 Script, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 25.04.2014 16:21Aktualisierung: 12.05.2026 05:54
Anpassungen: 25.04.2014 16:21 (91), 27.05.2017 23:11 (4), 17.06.2021 17:12 (3), 17.12.2024 11:10 (16), 23.04.2025 00:27 (2), 12.05.2026 05:54 (1)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.