| CNNVD-ID编号 | CNNVD-201006-065 |
| CVE编号 | CVE-2010-1648 |
| 发布时间 | 2010-06-09 |
| 更新时间 | 2010-06-09 |
| 漏洞类型 | 跨站请求伪造 |
| 漏洞来源 | N/A |
| 危险等级 | 中危 |
| 威胁类型 | 远程 |
| 厂 商 | mediawiki |
MediaWiki是美国维基媒体(Wikimedia)基金会和MediaWiki志愿者共同开发维护的一套自由免费的基于网络的Wiki引擎,它可用于部署内部的知识管理和内容管理系统。
MediaWiki的login接口存在跨站请求伪造(CSRF)漏洞,远程攻击者可劫持用户请求的认证,(1)创建账户,或(2)重置密码,与Special:Userlogin表有关。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-May/000091.html
来源: MLIST
名称: [MediaWiki-announce] 20100528 MediaWiki security update: 1.15.4 and 1.16.0beta3
链接:http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-May/000091.html