MediaWiki多个远程代码执行漏洞
发表日期:2014-02-10 14:56:00
MediaWiki多个远程代码执行漏洞
BugTraq-ID:65223
CVE-ID:CVE-2014-1610
受影响系统:
MediaWiki MediaWiki <= 1.22.1
详细信息:
MediaWiki是著名的wiki程序,运行于PHP+MySQL环境。
MediaWiki 1.22.2, 1.21.5, 1.19.11版本及之前版本启用了DjVu或PDF文件上传支持后,允许远程攻击者通过includes/media/DjVu.php中page参数内的shell元字符、thumb.php中w参数内的shell元字符、includes/media/Bitmap.php内的参数、includes/media/ImageHandler.php内的参数,利用此漏洞执行任意命令。
来源:
Netanel Rubin
参考信息:
http://secunia.com/advisories/56695
http://www.exploit-db.com/exploits/31329/
-----END PGP SIGNATURE-----
解决办法:
厂商补丁:
MediaWiki
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://wikipedia.sourceforge.net/
http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-January/000140.html
https://www.mediawiki.org/wiki/Release_notes/1.22
https://www.mediawiki.org/wiki/Release_notes/1.21
https://www.mediawiki.org/wiki/Release_notes/1.19