MediaWiki api.php脚本信息泄露漏洞
添加时间:
2010-07-29
系统编号:
WAVDB-01685
BUGTRAQ: 42019
影响版本:
MediaWiki 1.8 - 1.15.4
程序介绍:
解决方案:
厂商补丁:
MediaWiki
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.wikimedia.org/piper ... 10-July/000092.html
信息来源:
<*来源:Tim Starling
链接:http://secunia.com/advisories/40740/
https://bugzilla.wikimedia.org/s ... t=multiple&id=24565
*>
2010-07-29
系统编号:
WAVDB-01685
BUGTRAQ: 42019
影响版本:
MediaWiki 1.8 - 1.15.4
程序介绍:
MediaWiki是著名的wiki程序,运行于PHP+MySQL环境。
漏洞分析:
MediaWiki的api.php脚本没有正确地对缓存数据强制Cache-Control头,远程攻击者可以通过公开缓存头请求保密数据,包括文章标题和内容、已删除文章的内容、用户邮件地址或watchlist等。成功攻击要求攻击者能够使用与受害用户相同的HTTP代理服务器。
解决方案:
厂商补丁:
MediaWiki
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.wikimedia.org/piper ... 10-July/000092.html
信息来源:
<*来源:Tim Starling
链接:http://secunia.com/advisories/40740/
https://bugzilla.wikimedia.org/s ... t=multiple&id=24565
*>