MediaWiki before 1.17.1 does not check for read permission before handling action=ajax requests, which allows remote attackers to obtain sensitive information by (1) leveraging the SpecialUpload::ajaxGetExistsWarning function, or by (2) leveraging an extension, as demonstrated by the CategoryTree, ExtTab, and InlineEditor extensions.
References
Link | Resource |
---|---|
http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-November/000104.html | Patch Vendor Advisory |
http://openwall.com/lists/oss-security/2011/11/29/12 | Mailing List Third Party Advisory |
http://openwall.com/lists/oss-security/2011/11/29/6 | Mailing List Third Party Advisory |
http://www.debian.org/security/2011/dsa-2366 | Third Party Advisory |
https://bugzilla.redhat.com/show_bug.cgi?id=758171 | Issue Tracking Third Party Advisory |
https://bugzilla.wikimedia.org/show_bug.cgi?id=32616 | Issue Tracking Patch Vendor Advisory |
Configurations
History
21 Apr 2021, 14:54
Type | Values Removed | Values Added |
---|---|---|
CWE | CWE-276 | |
CPE | cpe:2.3:a:mediawiki:mediawiki:1.8.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.15.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.12.0:rc1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:alpha2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.14.0:rc1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.10:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:beta2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.8:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.8.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4_beta3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.0:rc2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.13.0:rc2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4_beta5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.10.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:beta3:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.13.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4:beta1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.10.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.13.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.12.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11.0:rc1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.10.0:rc1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.14:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.8:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.6:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.1.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.6:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.10.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.13.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.8:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.15.0:rc1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4:beta3:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.10.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:stable_2003-11-17:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4:beta5:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.12:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.10:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16.0:beta1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.12.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.5_r14348:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.12.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.10.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.12:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.14.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki_botquery_ext:*:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.15.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:stable_2003-08-29:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.13:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.15.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4_beta1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.7:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11.0rc1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.6:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.2.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.14.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.2.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_beta3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16:beta1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_beta4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.7.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:stable_2003-11-07:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.11:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4_beta4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11:rc1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.8:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.10.0:rc2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.9:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.2.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.15:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:beta4:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.9:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.15.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_rc3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16.0:beta2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.7:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.2.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.12.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.2.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.11:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.8.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.11:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.13.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.7.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.7.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.8.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5.7:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.13.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4:beta2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.12.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_rc2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:rc3:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_rc4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.15.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.14:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.13.0:rc1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11_development:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.10:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.2.6:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.7.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.16.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4:beta4:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.11.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:rc2:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:alpha1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.9:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.12:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4_beta2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.7:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.8.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.2.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.15.0:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.3:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_beta1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.3.4:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_alpha2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:rc4:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.8.5:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.9.1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4:beta6:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_alpha1:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5:beta1:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4.13:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.5_beta2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.2:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.4_beta6:*:*:*:*:*:*:* cpe:2.3:a:mediawiki:mediawiki:1.6.6:*:*:*:*:*:*:* |
cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:* |
References | (CONFIRM) https://bugzilla.redhat.com/show_bug.cgi?id=758171 - Issue Tracking, Third Party Advisory | |
References | (MLIST) http://openwall.com/lists/oss-security/2011/11/29/12 - Mailing List, Third Party Advisory | |
References | (CONFIRM) https://bugzilla.wikimedia.org/show_bug.cgi?id=32616 - Issue Tracking, Patch, Vendor Advisory | |
References | (MLIST) http://openwall.com/lists/oss-security/2011/11/29/6 - Mailing List, Third Party Advisory | |
References | (DEBIAN) http://www.debian.org/security/2011/dsa-2366 - Third Party Advisory |
Information
Published : 2012-01-08 11:55
Updated : 2023-12-10 11:03
NVD link : CVE-2011-4361
Mitre link : CVE-2011-4361
CVE.ORG link : CVE-2011-4361
JSON object : View
Products Affected
mediawiki
- mediawiki
debian
- debian_linux
CWE
CWE-276
Incorrect Default Permissions