CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
---|---|---|
3.8 | $0-$5k | 0.00 |
In MediaWiki (Content Management System) è stato trovato un punto critico di livello problematico. Interessato da questa vulnerabilità è una funzione sconosciuta del componente SVG Handler. Per causa della manipolazione di un input sconosciuto se causa una vulnerabilità di classe cross site scripting. Questo ha effetto su la integrità.
La vulnerabilità è stata pubblicata in data 26/09/2014 da MediaWiki con identificazione Bug 69008 con un mailinglist post (oss-sec) (confermato). L'advisory è scaricabile da seclists.org. Questa vulnerabilità è identificata come CVE-2014-7199. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. Dettagli tecnici e metodo d'utilizzo , non sono a disposizione.
È disponibile un plugin per lo scanner Nessus, numero ID 78063 (MediaWiki < 1.19.19 / 1.22.11 / 1.23.4 SVG Upload and CSS XSS), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da gerrit.wikimedia.org.
La vulnerabilità è documentata anche nel database X-Force (96692) e Tenable (78063).
Prodotto
Genere
Nome
Versione
- 1.19
- 1.19.0
- 1.19.1
- 1.19.2
- 1.19.3
- 1.19.4
- 1.19.5
- 1.19.6
- 1.19.7
- 1.19.8
- 1.19.9
- 1.19.10
- 1.19.11
- 1.19.12
- 1.19.13
- 1.19.14
- 1.19.15
- 1.19.16
- 1.19.17
- 1.19.18
- 1.22.0
- 1.22.1
- 1.22.2
- 1.22.3
- 1.22.4
- 1.22.5
- 1.22.6
- 1.22.7
- 1.22.8
- 1.22.9
- 1.22.10
- 1.23.0
- 1.23.1
- 1.23.2
- 1.23.3
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 4.3VulDB Punteggio Meta Temp: 3.8
VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 3.8
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
---|---|---|---|---|---|
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Classe: Cross site scriptingCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non dimostrata
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
---|---|---|---|---|
Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Nessus ID: 78063
Nessus Nome: MediaWiki < 1.19.19 / 1.22.11 / 1.23.4 SVG Upload and CSS XSS
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
OpenVAS ID: 867280
OpenVAS Nome: Fedora Update for mediawiki FEDORA-2014-11727
OpenVAS File: 🔍
OpenVAS Family: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
0 giorni di tempo: 🔍
Patch: gerrit.wikimedia.org
Sequenza temporale
25/09/2014 🔍25/09/2014 🔍
26/09/2014 🔍
26/09/2014 🔍
29/09/2014 🔍
30/09/2014 🔍
01/10/2014 🔍
05/10/2014 🔍
06/10/2014 🔍
21/02/2022 🔍
Fonti
Prodotto: mediawiki.orgAdvisory: Bug 69008
Organizzazione: MediaWiki
Stato: Confermato
Confermato: 🔍
CVE: CVE-2014-7199 (🔍)
OVAL: 🔍
X-Force: 96692 - MediaWiki SVG security bypass, Medium Risk
Vulnerability Center: 46339 - MediaWiki Remote Cross-Site Scripting via a Crafted SVG File, Medium
SecurityFocus: 70153 - Mediawiki SVG File Handling Security Bypass Vulnerability
Secunia: 61666 - Debian update for mediawiki, Less Critical
Varie: 🔍
Voce
Data di creazione: 01/10/2014 10:51Aggiornamenti: 21/02/2022 08:46
I cambiamenti: 01/10/2014 10:51 (73), 08/06/2017 08:56 (7), 21/02/2022 08:43 (3), 21/02/2022 08:46 (1)
Completa: 🔍
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.