30. 09. 2014

Charakteristika zranitelnosti

Bylo zjištěno, že MediaWiki - oblíbený engine, na kterém je provozována například Wikipedie - nedostatečně filtruje CSS (Cascading Style Sheets) v nahraných SVG souborech.

Postižené systémy

Verze MediaWiki předcházející 1.19.9, 1.22.11 a 1.23.4.

Dopad zranitelnosti

Útočník, který zneužije tuto chybu zabezpečení, může obejít některé bezpečnostní omezení a provádět nepovolené akce, jako například cross-site skriptování. To může být využito pro další útoky.

Řešení

Doporučuje se instalovat aktualizace, které jsou již dostupné na webových stránkách MediaWiki.

CVE

CVE-2014-7199
Bug 762754

Odkazy

https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-September/000161.html
https://www.debian.org/security/2014/dsa-3036
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762754