CVE-2014-2243

EPSS 0.35%
Published 02.03.2014 04:57:25
Last modified 12.04.2025 10:46:40
Source cve@mitre.org
Teams watchlist Login
Open Login

includes/User.php in MediaWiki before 1.19.12, 1.20.x and 1.21.x before 1.21.6, and 1.22.x before 1.22.3 terminates validation of a user token upon encountering the first incorrect character, which makes it easier for remote attackers to obtain access via a brute-force attack that relies on timing differences in responses to incorrect token guesses.

Affected products Warnungen 0 Metrics 2 CWE 1 References 9

Data is provided by the National Vulnerability Database (NVD)

Mediawiki ≫ Mediawiki Version <= 1.19.11

Mediawiki ≫ Mediawiki Version1.1.0

Mediawiki ≫ Mediawiki Version1.10.0

Mediawiki ≫ Mediawiki Version1.10.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.10.0 Updaterc2

Mediawiki ≫ Mediawiki Version1.10.1

Mediawiki ≫ Mediawiki Version1.10.2

Mediawiki ≫ Mediawiki Version1.10.3

Mediawiki ≫ Mediawiki Version1.10.4

Mediawiki ≫ Mediawiki Version1.11

Mediawiki ≫ Mediawiki Version1.11.0

Mediawiki ≫ Mediawiki Version1.11.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.11.1

Mediawiki ≫ Mediawiki Version1.11.2

Mediawiki ≫ Mediawiki Version1.12.0

Mediawiki ≫ Mediawiki Version1.12.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.12.1

Mediawiki ≫ Mediawiki Version1.12.2

Mediawiki ≫ Mediawiki Version1.12.3

Mediawiki ≫ Mediawiki Version1.12.4

Mediawiki ≫ Mediawiki Version1.13.0

Mediawiki ≫ Mediawiki Version1.13.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.13.0 Updaterc2

Mediawiki ≫ Mediawiki Version1.13.1

Mediawiki ≫ Mediawiki Version1.13.2

Mediawiki ≫ Mediawiki Version1.13.3

Mediawiki ≫ Mediawiki Version1.13.4

Mediawiki ≫ Mediawiki Version1.14.0

Mediawiki ≫ Mediawiki Version1.14.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.14.1

Mediawiki ≫ Mediawiki Version1.15.0

Mediawiki ≫ Mediawiki Version1.15.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.15.1

Mediawiki ≫ Mediawiki Version1.15.2

Mediawiki ≫ Mediawiki Version1.15.3

Mediawiki ≫ Mediawiki Version1.15.4

Mediawiki ≫ Mediawiki Version1.15.5

Mediawiki ≫ Mediawiki Version1.16.0

Mediawiki ≫ Mediawiki Version1.16.0 Updatebeta1

Mediawiki ≫ Mediawiki Version1.16.0 Updatebeta2

Mediawiki ≫ Mediawiki Version1.16.0 Updatebeta3

Mediawiki ≫ Mediawiki Version1.16.1

Mediawiki ≫ Mediawiki Version1.16.2

Mediawiki ≫ Mediawiki Version1.17

Mediawiki ≫ Mediawiki Version1.17 Updatebeta_1

Mediawiki ≫ Mediawiki Version1.17.0

Mediawiki ≫ Mediawiki Version1.17.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.17.1

Mediawiki ≫ Mediawiki Version1.17.2

Mediawiki ≫ Mediawiki Version1.17.3

Mediawiki ≫ Mediawiki Version1.17.4

Mediawiki ≫ Mediawiki Version1.18

Mediawiki ≫ Mediawiki Version1.18 Updatebeta_1

Mediawiki ≫ Mediawiki Version1.18.0

Mediawiki ≫ Mediawiki Version1.18.0 Updaterc1

Mediawiki ≫ Mediawiki Version1.18.1

Mediawiki ≫ Mediawiki Version1.18.2

Mediawiki ≫ Mediawiki Version1.18.3

Mediawiki ≫ Mediawiki Version1.19

Mediawiki ≫ Mediawiki Version1.19 Updatebeta_1

Mediawiki ≫ Mediawiki Version1.19 Updatebeta_2

Mediawiki ≫ Mediawiki Version1.19.0

Mediawiki ≫ Mediawiki Version1.19.1

Mediawiki ≫ Mediawiki Version1.19.2

Mediawiki ≫ Mediawiki Version1.19.3

Mediawiki ≫ Mediawiki Version1.19.4

Mediawiki ≫ Mediawiki Version1.19.5

Mediawiki ≫ Mediawiki Version1.19.6

Mediawiki ≫ Mediawiki Version1.19.7

Mediawiki ≫ Mediawiki Version1.19.8

Mediawiki ≫ Mediawiki Version1.19.9

Mediawiki ≫ Mediawiki Version1.19.10

Mediawiki ≫ Mediawiki Version1.20

Mediawiki ≫ Mediawiki Version1.20.1

Mediawiki ≫ Mediawiki Version1.20.2

Mediawiki ≫ Mediawiki Version1.20.3

Mediawiki ≫ Mediawiki Version1.20.4

Mediawiki ≫ Mediawiki Version1.20.5

Mediawiki ≫ Mediawiki Version1.20.6

Mediawiki ≫ Mediawiki Version1.20.7

Mediawiki ≫ Mediawiki Version1.20.8

Mediawiki ≫ Mediawiki Version1.21

Mediawiki ≫ Mediawiki Version1.21.1

Mediawiki ≫ Mediawiki Version1.21.2

Mediawiki ≫ Mediawiki Version1.21.3

Mediawiki ≫ Mediawiki Version1.21.4

Mediawiki ≫ Mediawiki Version1.21.5

Mediawiki ≫ Mediawiki Version1.22.0

Mediawiki ≫ Mediawiki Version1.22.1

Mediawiki ≫ Mediawiki Version1.22.2

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Type	Source	Score	Percentile
EPSS	FIRST.org	0.35%	0.566

CVSS Metriken
Source	Base Score	Exploit Score	Impact Score	Vector string
nvd@nist.gov	5.8	8.6	4.9	AV:N/AC:M/Au:N/C:P/I:P/A:N

CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

The product contains a concurrent code sequence that requires temporary, exclusive access to a shared resource, but a timing window exists in which the shared resource can be modified by another code sequence operating concurrently.

http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-February/000141.html

Patch

Vendor Advisory

http://openwall.com/lists/oss-security/2014/02/28/1

http://openwall.com/lists/oss-security/2014/03/01/2

https://bugzilla.redhat.com/show_bug.cgi?id=1071136

https://bugzilla.wikimedia.org/show_bug.cgi?id=61346

Vendor Advisory

https://gerrit.wikimedia.org/r/#/q/I2a9e89120f7092015495e638c6fa9f67adc9b84f%2Cn%2Cz

https://nvd.nist.gov/vuln/detail/CVE-2014-2243

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2014-2243

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2014-2243

EUVD