发布日期：2020-06-24
更新日期：2020-10-15

受影响系统：

MediaWiki MediaWiki < 1.31.8
MediaWiki MediaWiki 1.34.x < 1.34.2
MediaWiki MediaWiki 1.33.x < 1.33.4
MediaWiki MediaWiki 1.32.x < 1.33.4

描述：

---

CVE(CAN) ID: CVE-2020-15005

MediaWiki是美国MediaWiki（维基媒体）基金会的一套自由免费的基于网络的Wiki引擎。该产品可用于部署内部的知识管理和内容管理系统。
MediaWiki 1.31.8之前版本、1.33.4之前的1.32.x版本和1.33.x版本和1.34.2之前的1.34.x版本存在信息泄露漏洞。该漏洞源于程序未对Cache-Control和Vary标头进行正确处理。攻击者可利用该漏洞查看使用img_auth.php图像授权安全功能的缓存服务器的私有Wiki已公开缓存的文件。

<*链接：https://phabricator.wikimedia.org/T248947
*>

建议：

---

厂商补丁：

MediaWiki
---------
MediaWiki已经为此发布了一个安全公告（CVE-2020-15005）以及相应补丁:
CVE-2020-15005：img_auth.php may leak private extension images into the public cache (CVE-2020-15005) Closed, ResolvedPublicSecurity
链接：https://phabricator.wikimedia.org/T248947

浏览次数：1365
严重程度：0（网友投票）