MediaWiki fino 1.23.3 SVG cross site scripting

CVSS Punteggio Meta TempExploit Prezzo Attuale (≈)Punteggio di interesse CTI
3.8$0-$5k0.00

In MediaWiki (Content Management System) è stato trovato un punto critico di livello problematico. Interessato da questa vulnerabilità è una funzione sconosciuta del componente SVG Handler. Per causa della manipolazione di un input sconosciuto se causa una vulnerabilità di classe cross site scripting. Questo ha effetto su la integrità.

La vulnerabilità è stata pubblicata in data 26/09/2014 da MediaWiki con identificazione Bug 69008 con un mailinglist post (oss-sec) (confermato). L'advisory è scaricabile da seclists.org. Questa vulnerabilità è identificata come CVE-2014-7199. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. Dettagli tecnici e metodo d'utilizzo , non sono a disposizione.

È disponibile un plugin per lo scanner Nessus, numero ID 78063 (MediaWiki < 1.19.19 / 1.22.11 / 1.23.4 SVG Upload and CSS XSS), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da gerrit.wikimedia.org.

La vulnerabilità è documentata anche nel database X-Force (96692) e Tenable (78063).

Prodottoinfo

Genere

Nome

Versione

Licenza

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3info

VulDB Punteggio meta-base: 4.3
VulDB Punteggio Meta Temp: 3.8

VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 3.8
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Exploitinginfo

Classe: Cross site scripting
CWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Locale: No
Remoto: Si

Disponibilità: 🔍
Stato: Non dimostrata

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Daysbloccaresbloccaresbloccaresbloccare
Oggisbloccaresbloccaresbloccaresbloccare

Nessus ID: 78063
Nessus Nome: MediaWiki < 1.19.19 / 1.22.11 / 1.23.4 SVG Upload and CSS XSS
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍

OpenVAS ID: 867280
OpenVAS Nome: Fedora Update for mediawiki FEDORA-2014-11727
OpenVAS File: 🔍
OpenVAS Family: 🔍

Intelligence Sulle Minacceinfo

Interesse: 🔍
Attori Attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinfo

Raccomandazione: Patch
Stato: 🔍

0 giorni di tempo: 🔍

Patch: gerrit.wikimedia.org

Sequenza temporaleinfo

25/09/2014 🔍
25/09/2014 +0 giorni 🔍
26/09/2014 +0 giorni 🔍
26/09/2014 +0 giorni 🔍
29/09/2014 +3 giorni 🔍
30/09/2014 +1 giorni 🔍
01/10/2014 +1 giorni 🔍
05/10/2014 +4 giorni 🔍
06/10/2014 +1 giorni 🔍
21/02/2022 +2695 giorni 🔍

Fontiinfo

Prodotto: mediawiki.org

Advisory: Bug 69008
Organizzazione: MediaWiki
Stato: Confermato
Confermato: 🔍

CVE: CVE-2014-7199 (🔍)
OVAL: 🔍

X-Force: 96692 - MediaWiki SVG security bypass, Medium Risk
Vulnerability Center: 46339 - MediaWiki Remote Cross-Site Scripting via a Crafted SVG File, Medium
SecurityFocus: 70153 - Mediawiki SVG File Handling Security Bypass Vulnerability
Secunia: 61666 - Debian update for mediawiki, Less Critical

Varie: 🔍

Voceinfo

Data di creazione: 01/10/2014 10:51
Aggiornamenti: 21/02/2022 08:46
I cambiamenti: 01/10/2014 10:51 (73), 08/06/2017 08:56 (7), 21/02/2022 08:43 (3), 21/02/2022 08:46 (1)
Completa: 🔍

Discussione

Ancora nessun commento. Le Lingue: it + en.

Effettua il login per commentare.

PrecedenteVisione D'insiemeIl prossimo

Interested in the pricing of exploits?

See the underground prices here!