6

CVE-2010-1150

Exploit
MediaWiki before 1.15.3, and 1.6.x before 1.16.0beta2, does not properly handle a correctly authenticated but unintended login attempt, which makes it easier for remote authenticated users to conduct phishing attacks by arranging for a victim to login to the attacker's account and then execute a crafted user script, related to a "login CSRF" issue.
Daten sind bereitgestellt durch National Vulnerability Database (NVD)
MediawikiMediawiki Version <= 1.15.2
MediawikiMediawiki Version1.6.0
MediawikiMediawiki Version1.6.1
MediawikiMediawiki Version1.6.2
MediawikiMediawiki Version1.6.3
MediawikiMediawiki Version1.6.4
MediawikiMediawiki Version1.6.5
MediawikiMediawiki Version1.6.6
MediawikiMediawiki Version1.6.7
MediawikiMediawiki Version1.6.8
MediawikiMediawiki Version1.6.9
MediawikiMediawiki Version1.6.10
MediawikiMediawiki Version1.6.11
MediawikiMediawiki Version1.6.12
MediawikiMediawiki Version1.7.0
MediawikiMediawiki Version1.7.1
MediawikiMediawiki Version1.7.2
MediawikiMediawiki Version1.7.3
MediawikiMediawiki Version1.8.0
MediawikiMediawiki Version1.8.1
MediawikiMediawiki Version1.8.2
MediawikiMediawiki Version1.8.3
MediawikiMediawiki Version1.8.4
MediawikiMediawiki Version1.8.5
MediawikiMediawiki Version1.9.0
MediawikiMediawiki Version1.9.0 Updaterc2
MediawikiMediawiki Version1.9.1
MediawikiMediawiki Version1.9.2
MediawikiMediawiki Version1.9.3
MediawikiMediawiki Version1.9.4
MediawikiMediawiki Version1.9.5
MediawikiMediawiki Version1.9.6
MediawikiMediawiki Version1.10.0
MediawikiMediawiki Version1.10.0 Updaterc1
MediawikiMediawiki Version1.10.0 Updaterc2
MediawikiMediawiki Version1.10.1
MediawikiMediawiki Version1.10.2
MediawikiMediawiki Version1.10.3
MediawikiMediawiki Version1.10.4
MediawikiMediawiki Version1.11.0
MediawikiMediawiki Version1.11.0 Updaterc1
MediawikiMediawiki Version1.11.1
MediawikiMediawiki Version1.11.2
MediawikiMediawiki Version1.12.0
MediawikiMediawiki Version1.12.0 Updaterc1
MediawikiMediawiki Version1.12.1
MediawikiMediawiki Version1.12.2
MediawikiMediawiki Version1.12.3
MediawikiMediawiki Version1.12.4
MediawikiMediawiki Version1.13.0
MediawikiMediawiki Version1.13.0 Updaterc1
MediawikiMediawiki Version1.13.0 Updaterc2
MediawikiMediawiki Version1.13.1
MediawikiMediawiki Version1.13.2
MediawikiMediawiki Version1.13.3
MediawikiMediawiki Version1.13.4
MediawikiMediawiki Version1.14.0
MediawikiMediawiki Version1.14.0 Updaterc1
MediawikiMediawiki Version1.14.1
MediawikiMediawiki Version1.15.0
MediawikiMediawiki Version1.15.0 Updaterc1
MediawikiMediawiki Version1.15.1
MediawikiMediawiki Version1.16.0
MediawikiMediawiki Version1.16.0 Updatebeta1
Zu dieser CVE wurde keine Warnung gefunden.
EPSS Metriken
Typ Quelle Score Percentile
EPSS FIRST.org 1.3% 0.666
CVSS Metriken
Quelle Base Score Exploit Score Impact Score Vector String
nvd@nist.gov 6 6.8 6.4
AV:N/AC:M/Au:S/C:P/I:P/A:P
CWE-352 Cross-Site Request Forgery (CSRF)

The web application does not, or cannot, sufficiently verify whether a request was intentionally provided by the user who sent the request, which could have originated from an unauthorized actor.

http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.3.patch.gz
Patch
http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0beta2.patch.gz
Patch
http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-April/000090.html
Patch
Vendor Advisory
http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_15_3/phase3/RELEASE-NOTES
http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_16_0beta2/phase3/RELEASE-NOTES
http://www.debian.org/security/2010/dsa-2041
http://www.openwall.com/lists/oss-security/2010/04/07/1
http://www.openwall.com/lists/oss-security/2010/04/08/4
http://www.vupen.com/english/advisories/2010/1055
https://bugzilla.redhat.com/show_bug.cgi?id=580418
https://bugzilla.wikimedia.org/show_bug.cgi?id=23076
Exploit