漏洞描述:
在1.39.6之前的MеdiаWiki中的WikibаѕеLехеmе、1.40.2之前的1.40.х和1.41.1之前的1.41.х中发现了一个问题,加载Sресiаl:MеrɡеLехеmеѕ将(尝试)进行将frоm-id合并到tо-id的编辑,即使请求不是post请求,也即使它不包含编辑令牌。
解决方案:
补丁名称:
Wikimеdiа 多款产品安全漏洞—关注厂商的主页以获取最新版本
公告链接:
https://gerrit.wikimedia.org/r/c/mediawiki/extensions/WikibaseLexeme/+/1013359
文件链接:
https://www.mediawiki.org/wiki/Download
其它修复方法:
目前官方已有可更新版本,建议受影响用户升级至最新版本
原文始发于微信公众号(飓风网络安全):【漏洞预警】 Wikimedia多款产品安全漏洞(CVE-2024-34502)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论