当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

MediaWiki多个远程代码执行漏洞

     发表日期:2014-02-10 14:56:00

MediaWiki多个远程代码执行漏洞

BugTraq-ID:65223

CVE-ID:CVE-2014-1610

 

受影响系统:

MediaWiki MediaWiki <= 1.22.1

详细信息:

 

MediaWiki是著名的wiki程序,运行于PHP+MySQL环境。

 

 

 

MediaWiki 1.22.2, 1.21.5, 1.19.11版本及之前版本启用了DjVu或PDF文件上传支持后,允许远程攻击者通过includes/media/DjVu.php中page参数内的shell元字符、thumb.php中w参数内的shell元字符、includes/media/Bitmap.php内的参数、includes/media/ImageHandler.php内的参数,利用此漏洞执行任意命令。

 

 

来源:

Netanel Rubin

参考信息:

http://secunia.com/advisories/56695

 

http://www.exploit-db.com/exploits/31329/

 

-----END PGP SIGNATURE-----

解决办法:

厂商补丁:

 

MediaWiki

---------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

 

 

http://wikipedia.sourceforge.net/

 

http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-January/000140.html

 

https://www.mediawiki.org/wiki/Release_notes/1.22

 

https://www.mediawiki.org/wiki/Release_notes/1.21

 

https://www.mediawiki.org/wiki/Release_notes/1.19