MediaWiki até 1.23.14/1.26.3/1.27.0 CSS User Subpage Preview common.css Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.9	$0-$5k	0.00

Sumárioinformação

Detectou-se uma vulnerabilidade classificada como problemático em MediaWiki até 1.23.14/1.26.3/1.27.0. Afetado é uma função desconhecida do arquivo Special:MyPage/common.css do componente CSS User Subpage Preview. O tratamento leva a Script de Site Cruzado. Esta vulnerabilidade é conhecida como CVE-2016-6333. O ataque pode ser levado a cabo através da rede. Não existe exploit disponível. Recomenda-se a atualização do componente afetado.

Detalhesinformação

Detectou-se uma vulnerabilidade classificada como problemático em MediaWiki até 1.23.14/1.26.3/1.27.0. Afetado é uma função desconhecida do arquivo Special:MyPage/common.css do componente CSS User Subpage Preview. O tratamento leva a Script de Site Cruzado. Usar a CWE para declarar o problema leva à CWE-79. A vulnerabilidade foi identificada em 20/04/2017. O problema foi divulgado 20/04/2017 (Site). O comunicado está disponível para download em lists.wikimedia.org.

Esta vulnerabilidade é conhecida como CVE-2016-6333. A atribuição do CVE ocorreu em 26/07/2016. O ataque pode ser levado a cabo através da rede. Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projeto MITRE ATT&CK identifica a técnica de ataque como T1059.007.

Está declarado como não definido. Como 0-day, o valor estimado no submundo era aproximadamente $0-$5k. O Nessus oferece um plugin com o ID 93195 para detecção de vulnerabilidades. Encontra-se atribuído à família CGI abuses. O plugin está em execução no contexto do tipo r. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 11684 (Mediawiki Multiple Vulnerabilities (MediaWiki Security Release: 1.27.1, 1.26.4, 1.23.15)).

Atualizar para a versão 1.23.15 pode resolver este problema. Recomenda-se a atualização do componente afetado.

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 98053) e Tenable (93195).

Produtoinformação

Tipo

• Content Management System

Nome

• MediaWiki

Versão

• 1.0
• 1.1
• 1.2
• 1.3
• 1.4
• 1.5
• 1.6
• 1.7
• 1.8
• 1.9
• 1.10
• 1.11
• 1.12
• 1.13
• 1.14
• 1.15
• 1.16
• 1.17
• 1.18
• 1.19
• 1.20
• 1.21
• 1.22
• 1.23
• 1.23.0
• 1.23.1
• 1.23.2
• 1.23.3
• 1.23.4
• 1.23.5
• 1.23.6
• 1.23.7
• 1.23.8
• 1.23.9
• 1.23.10
• 1.23.11
• 1.23.12
• 1.23.13
• 1.23.14
• 1.24
• 1.25
• 1.26
• 1.26.0
• 1.26.1
• 1.26.2
• 1.26.3
• 1.27.0

Licença

• código aberto

Site

• Produto: https://www.mediawiki.org/wiki/MediaWiki

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 5.2
VulDB Meta Pontuação Temporária: 5.1

VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 4.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 6.1
NVD Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 93195
Nessus Nome: MediaWiki 1.23.x < 1.23.15 / 1.26.x < 1.26.4 / 1.27.x < 1.27.1 Multiple Vulnerabilities
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS Nome: Fedora Update for mediawiki FEDORA-2016-ce1678471e
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍

Atualização: MediaWiki 1.23.15

Linha do tempoinformação

26/07/2016 🔍
23/08/2016 +28 dias 🔍
29/08/2016 +6 dias 🔍
20/04/2017 +234 dias 🔍
20/04/2017 +0 dias 🔍
20/04/2017 +0 dias 🔍
21/04/2017 +1 dias 🔍
21/04/2017 +0 dias 🔍
23/04/2017 +1 dias 🔍

Fontesinformação

Produto: mediawiki.org

Aconselhamento: lists.wikimedia.org
Estado: Não definido
Confirmação: 🔍

CVE: CVE-2016-6333 (🔍)
GCVE (CVE): GCVE-0-2016-6333
GCVE (VulDB): GCVE-100-100365
SecurityFocus: 98053 - Mediawiki 'Special:MyPage/common.css' Cross-Site Scripting Vulnerability
OSVDB: - CVE-2016-6333 - MediaWiki - Cross-Site Scripting Issue

Veja também: 🔍

Entradainformação

Criado: 21/04/2017 09h54
Ajustamentos: 21/04/2017 09h54 (80)
Completo: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussão

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!