製品・ソフトウェアに関する情報

JVN脆弱性詳細

MediaWiki における任意のファイルを読まれる脆弱性

Title	MediaWiki における任意のファイルを読まれる脆弱性
Summary	MediaWiki は、cURL ライブラリを呼び出す際にパラメータを適切にサニタイズしないため、任意のファイルを読まれる脆弱性が存在します。
Possible impacts	リモートの攻撃者により、不特定の POST 配列パラメータの @ (アットマーク) 文字を介して、任意のファイルを読まれる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 19, 2015, midnight
Registration Date	April 20, 2017, 5:35 p.m.
Last Update	April 20, 2017, 5:35 p.m.

Affected System

MediaWiki

MediaWiki 1.23.12 未満

MediaWiki 1.24.5 未満の 1.24.x

MediaWiki 1.25.4 未満の 1.25.x

MediaWiki 1.26.1 未満の 1.26.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-8625	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8625
National Vulnerability Database (NVD)
2	CVE-2015-8625	https://nvd.nist.gov/vuln/detail/CVE-2015-8625

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
Phabricator
1	T118032	https://phabricator.wikimedia.org/T118032

Change Log

No	Changed Details	Date of change
0	[2017年04月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-8625

Summary	MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 do not properly sanitize parameters when calling the cURL library, which allows remote attackers to read arbitrary files via an @ (at sign) character in unspecified POST array parameters.
Publication Date	March 24, 2017, 5:59 a.m.
Registration Date	Jan. 26, 2021, 2:58 p.m.
Last Update	Nov. 21, 2024, 11:38 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2015/12/21/8	Mailing List Patch Third Party Advisory
2	http://www.openwall.com/lists/oss-security/2015/12/21/8	Mailing List Patch Third Party Advisory
3	http://www.openwall.com/lists/oss-security/2015/12/23/7	Mailing List Patch Third Party Advisory
4	http://www.openwall.com/lists/oss-security/2015/12/23/7	Mailing List Patch Third Party Advisory
5	https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html	Patch Release Notes Vendor Advisory
6	https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html	Patch Release Notes Vendor Advisory
7	https://phabricator.wikimedia.org/T118032	Patch Third Party Advisory
8	https://phabricator.wikimedia.org/T118032	Patch Third Party Advisory

Common Vulnerabilities List