发布日期：2014-04-19
更新日期：2014-04-21

受影响系统：

MediaWiki MediaWiki < 1.22.5
MediaWiki MediaWiki < 1.21.8
MediaWiki MediaWiki < 1.19.14

描述：

---

CVE(CAN) ID: CVE-2014-2665

MediaWiki是著名的wiki程序，运行于PHP+MySQL环境。

MediaWiki 1.19.14, 1.21.8, 1.22.5之前版本中，includes/specials/SpecialChangePassword.php处理正确验证的但非目标登录请求时出现错误，这可使经过身份验证的远程用户利用此漏洞获取敏感信息。

<*来源：vendor
  *>

建议：

---

厂商补丁：

MediaWiki
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

下载：
http://releases.wikimedia.org/mediawiki/1.22/mediawiki-1.22.5.tar.gz

之前版本的补丁 (1.22.4):
http://releases.wikimedia.org/mediawiki/1.22/mediawiki-1.22.5.patch.gz

GPG 签名：
http://releases.wikimedia.org/mediawiki/1.22/mediawiki-core-1.22.5.tar.gz.sig
http://releases.wikimedia.org/mediawiki/1.22/mediawiki-1.22.5.tar.gz.sig
http://releases.wikimedia.org/mediawiki/1.22/mediawiki-1.22.5.patch.gz.sig

**********************************************************************
    1.21.8
**********************************************************************
下载:
http://releases.wikimedia.org/mediawiki/1.21/mediawiki-1.21.8.tar.gz

之前版本的补丁 (1.21.7):
http://releases.wikimedia.org/mediawiki/1.21/mediawiki-1.21.8.patch.gz

GPG 签名：
http://releases.wikimedia.org/mediawiki/1.21/mediawiki-core-1.21.8.tar.gz.sig
http://releases.wikimedia.org/mediawiki/1.21/mediawiki-1.21.8.tar.gz.sig
http://releases.wikimedia.org/mediawiki/1.21/mediawiki-1.21.8.patch.gz.sig

**********************************************************************
    1.19.14
**********************************************************************
下载:
http://releases.wikimedia.org/mediawiki/1.19/mediawiki-1.19.14.tar.gz

之前版本的签名 (1.19.13):
http://releases.wikimedia.org/mediawiki/1.19/mediawiki-1.19.14.patch.gz

GPG签名：
http://releases.wikimedia.org/mediawiki/1.19/mediawiki-core-1.19.14.tar.gz.sig
http://releases.wikimedia.org/mediawiki/1.19/mediawiki-1.19.14.tar.gz.sig
http://releases.wikimedia.org/mediawiki/1.19/mediawiki-1.19.14.patch.gz.sig

浏览次数：2022
严重程度：0（网友投票）