製品・ソフトウェアに関する情報

JVN脆弱性詳細

MediaWiki におけるクロスサイトスクリプティングの脆弱性

Title	MediaWiki におけるクロスサイトスクリプティングの脆弱性
Summary	MediaWiki には、Internet Explorer が使用されている、およびアップロードが有効になっている、または SVG スクリプティングブラウザが使用されている、および SVG アップロードが有効になっている際、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、Wiki ページを編集されることで、任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 15, 2008, midnight
Registration Date	Sept. 25, 2012, 5:17 p.m.
Last Update	Sept. 25, 2012, 5:17 p.m.

Affected System

MediaWiki

MediaWiki 1.6.11 未満、1.12.2 未満の 1.12.x、および 1.13.3 未満の 1.13.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-5250	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5250
National Vulnerability Database (NVD)
2	CVE-2008-5250	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5250

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
MediaWiki
1	MediaWiki 1.13.3, 1.12.2, 1.6.11 security update	http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.html

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-5250

Summary	Cross-site scripting (XSS) vulnerability in MediaWiki before 1.6.11, 1.12.x before 1.12.2, and 1.13.x before 1.13.3, when Internet Explorer is used and uploads are enabled, or an SVG scripting browser is used and SVG uploads are enabled, allows remote authenticated users to inject arbitrary web script or HTML by editing a wiki page.
Summary	Una vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en versiones de MediaWiki anteriores a 1.6.11, 1.12.x anteriores a 1.12.2, y 1.13.3 anteriores a 1.13.x, cuando se esta usando Internet Explorer y las subidas están habilitadas, o bien cuando un navegador que permita secuencias de comandos SVG se este usando y las subidas SVG estén habilitadas, permite a usuarios remotos autenticados inyectar HTML o secuencias de comandos web arbitrarias durante la edición de una página del wiki.
Publication Date	Dec. 20, 2008, 2:30 a.m.
Registration Date	Jan. 29, 2021, 1:46 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.html	cve@mitre.org
2	http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.html	cve@mitre.org
3	http://secunia.com/advisories/33133	cve@mitre.org
4	http://secunia.com/advisories/33349	cve@mitre.org
5	http://www.debian.org/security/2009/dsa-1901	cve@mitre.org
6	http://www.securityfocus.com/bid/32844	cve@mitre.org
7	https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01256.html	cve@mitre.org
8	https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01309.html	cve@mitre.org
9	http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.html	af854a3a-2127-422b-91ae-364da2661108
10	http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.html	af854a3a-2127-422b-91ae-364da2661108
11	http://secunia.com/advisories/33133	af854a3a-2127-422b-91ae-364da2661108
12	http://secunia.com/advisories/33349	af854a3a-2127-422b-91ae-364da2661108
13	http://www.debian.org/security/2009/dsa-1901	af854a3a-2127-422b-91ae-364da2661108
14	http://www.securityfocus.com/bid/32844	af854a3a-2127-422b-91ae-364da2661108
15	https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01256.html	af854a3a-2127-422b-91ae-364da2661108
16	https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01309.html	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html