DFN-CERT

Advisory-Archiv

2021-2048: MediaWiki: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2021-10-01 18:45)
Neues Advisory
Version 2 (2021-10-05 16:50)
Mit dem MediaWiki Security and Maintenance Release 1.31.16 / 1.35.4 / 1.36.2 wurde zusätzlich die Schwachstelle CVE-2021-41801 in einer MediaWiki Extension adressiert. Für die Debian Distributionen 10 Buster (oldstable) und 11 Bullseye (stable) stehen Sicherheitsupdates für das Paket 'mediawiki' in den Versionen '1:1.31.16-1~deb10u1' und '1:1.35.4-1~deb11u1' bereit, welche zusätzlich die Schwachstelle CVE-2021-35197 adressieren, die bereits mit dem vorherigen MediaWiki Release behoben wurde. Für Fedora 33 und 34 stehen mit den Paketen 'mediawiki-1.35.4-1.fc33' und 'mediawiki-1.35.4-1.fc34' Sicherheitsupdates bereit, welche zusätzlich die Schwachstellen CVE-2021-35197 und CVE-2021-31556 beheben. Die Schwachstelle 2021-41801 wird für diese Sicherheitsupdates nicht referenziert.
Version 3 (2021-10-11 09:59)
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für das Paket 'mediawiki' in Version 1:1.27.7-1~deb9u10 bereit, welches zusätzlich die Schwachstelle CVE-2021-35197 adressiert, die bereits mit dem vorherigen MediaWiki Release behoben wurde. Die Schwachstellen CVE-2021-41800 und CVE-2021-41801 werden dagegen nicht referenziert.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die Schwachstelle CVE-2021-41798 erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die referenzierten Schwachstellen und eine weitere Schwachstelle in einer Erweiterung und stellt zu deren Behebung die Versionen 1.31.16, 1.35.4 und 1.36.2 bereit.

Schwachstellen:

CVE-2021-41798

Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41799

Schwachstelle in MediaWiki ermöglicht Ausspähen von Informationen

CVE-2021-41800

Schwachstelle in MediaWiki ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-41801

Schwachstelle in MediaWiki ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.