FreeBSD：mediawiki -- 多种漏洞 (7c0fecd6-f42f-11e1-b17b-000c2977ec30)

high Nessus 插件 ID 61765

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

MediaWiki 报告：

（缺陷 39700）Wikipedia 管理员 Writ Keeper 发现了一个存储 XSS（HTML 注入）漏洞。由于对不存在文件的 File: 链接中的链接文本的处理方式可能存在此漏洞。MediaWiki 1.16 及更高版本受影响。

（缺陷 39180）用户 Fomafix 报告可能存在某些基于 DOM 的 XSS 漏洞，造成该漏洞的原因是不同语言 Wikipedias 中 uselang 参数和 JavaScript 小工具的宽松过滤组合。

（缺陷 39180）在内部检查期间，已发现通过 api 提供的 CSRF 标记未使用 X-Frame-Options 标头进行保护。如果 API 响应使用 iframe 嵌入在外部网站，这可导致 CSRF 漏洞。

（缺陷 39824）在内部检查期间，已发现扩展未始终允许阻止帐户创建操作。这可允许 GlobalBlocking 扩展阻止的用户创建帐户。

（缺陷 39184）在内部检查期间，已发现密码数据始终保存到本地 MediaWiki 数据库，即使由 LDAP 等扩展处理认证。这可允许受影响的 MediaWiki 安装泄漏有关用户 LDAP 密码的信息。此外，在认证插件在其严格函数中返回错误的情况下，这会无限定地允许旧密码用于外部系统中不存在的帐户。

（缺陷 39823）在内部检查期间，已发现由具有抑制权限的用户隐藏的区块相关元数据对管理员可见。