MediaWiki 迄 1.22.6/1.21.9 InfoAction.php sortKey クロスサイトスクリプティング

CVSS 一時的なメタスコア現在のエクスプロイト価格 (≈)CTI注目指数
4.1$0-$5k0.00

要約情報

脆弱性が問題があるとして分類され、MediaWiki 迄 1.22.6/1.21.9で発見されました。 該当するのは 不明な関数 ファイルmediawiki/includes/actions/InfoAction.phpのです。 【sortKey】引数を未知の値で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります}。 この脆弱性はCVE-2014-2853として取引されています。 リモートで攻撃を実行することが可能です。 さらに、エクスプロイトが存在します。 対象コンポーネントのアップグレードを推奨します。

詳細情報

脆弱性が問題があるとして分類され、MediaWiki 迄 1.22.6/1.21.9で発見されました。 該当するのは 不明な関数 ファイルmediawiki/includes/actions/InfoAction.phpのです。 【sortKey】引数を未知の値で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります}。 この問題をCWEでは、CWE-79 と定義しました。 この脆弱性は 2014年03月29日に公開されました 、Dr. Cindy Cicaleseによって 、MITRE Corporationとともに 、Bug 63251として 、Bug Reportとして (Bugzilla)。 アドバイザリはbugzilla.wikimedia.orgでダウンロードできます。 公開リリースはベンダーと調整されています。

この脆弱性はCVE-2014-2853として取引されています。 CVEのアサインは2014年04月14日に実施されました。 リモートで攻撃を実行することが可能です。 技術詳細が存在します。 この脆弱性の人気度は平均より低いです。 さらに、エクスプロイトが存在します。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1059.007です。

高度に機能的 として設定されています。 0-dayとして、アンダーグラウンドでの推定価格は$0-$5k程度でした。 Nessus脆弱性スキャナーは、IDが73804のプラグインを持っています。 これは【CGI abuses : XSS 】に分類されています。 商用脆弱性スキャナーQualysではプラグイン【 12811 (MediaWiki Default Sort Key "InfoAction.php" Script Insertion Vulnerability) 】を使用してこの問題をテストできます。

1.21.9 , 1.22.6にアップグレードすることで、本問題を解消できます。 新しいバージョンはreleases.wikimedia.orgから入手できます。 バグ修正はreleases.wikimedia.orgでダウンロード可能です。 対象コンポーネントのアップグレードを推奨します。 脆弱性が開示されてから 4 週 経過後に、対策が提供されました。

他の脆弱性データベースにもこの脆弱性の情報があります: SecurityFocus (BID 67068), X-Force (92761), Secunia (SA58262), SecurityTracker (ID 1030161) , Vulnerability Center (SBV-44447).

製品情報

タイプ

名前

バージョン

ライセンス

ウェブサイト

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 4.3
VulDB 一時的なメタスコア: 4.1

VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 4.1
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv2情報

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ベクトル複雑さ認証機密性完全性可用性
解除解除解除解除解除解除
解除解除解除解除解除解除
解除解除解除解除解除解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

クラス: クロスサイトスクリプティング
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 高度に機能的
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day解除解除解除解除
本日解除解除解除解除

Nessus ID: 73804
Nessus 名前: MediaWiki < 1.21.9 / 1.22.6 'InfoAction.php' XSS
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍

OpenVAS ID: 867788
OpenVAS 名前: Fedora Update for mediawiki FEDORA-2014-5684
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍

Qualys ID: 🔍
Qualys 名前: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: アップグレード
ステータス: 🔍

リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍

アップグレード: MediaWiki 1.21.9/1.22.6
パッチ: releases.wikimedia.org

タイムライン情報

2014年03月29日 🔍
2014年03月29日 +0 日 🔍
2014年04月14日 +16 日 🔍
2014年04月24日 +10 日 🔍
2014年04月24日 +0 日 🔍
2014年04月24日 +0 日 🔍
2014年04月25日 +1 日 🔍
2014年04月25日 +0 日 🔍
2014年04月29日 +4 日 🔍
2014年04月29日 +0 日 🔍
2014年05月01日 +2 日 🔍
2014年05月12日 +11 日 🔍
2026年05月12日 +4383 日 🔍

ソース情報

製品: mediawiki.org

勧告: Bug 63251
調査者: Dr. Cindy Cicalese
組織: MITRE Corporation
ステータス: 確認済み
確認: 🔍
調整済み: 🔍

CVE: CVE-2014-2853 (🔍)
GCVE (CVE): GCVE-0-2014-2853
GCVE (VulDB): GCVE-100-13071
X-Force: 92761 - MediaWiki InfoAction.php cross-site scripting, Medium Risk
SecurityFocus: 67068 - MediaWiki 'InfoAction.php' HTML Injection Vulnerability
Secunia: 58262 - MediaWiki Default Sort Key "InfoAction.php" Script Insertion Vulnerability, Less Critical
SecurityTracker: 1030161 - MediaWiki Input Validation Flaw in 'includes/actions/InfoAction.php' Permits Cross-Site Scripting Attacks
Vulnerability Center: 44447 - MediaWiki before 1.21.9 and 1.22.0 through 1.22.5 Remote XSS via the \x27SortKey\x27 Field in the \x27InfoAction\x27 Script, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013

エントリ情報

作成済み: 2014年04月25日 16:21
更新済み: 2026年05月12日 05:54
変更: 2014年04月25日 16:21 (91), 2017年05月27日 23:11 (4), 2021年06月17日 17:12 (3), 2024年12月17日 11:10 (16), 2025年04月23日 00:27 (2), 2026年05月12日 05:54 (1)
完了: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

討論

コメントはまだありません。 言語: ja + en.

コメントするにはログインしてください。

概要

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!