发布日期：2003-11-17
更新日期：2003-11-21

受影响系统：

MediaWiki MediaWiki-stable 20031107
MediaWiki MediaWiki-stable 20030829

不受影响系统：

MediaWiki MediaWiki-stable 20031117

描述：

---

BUGTRAQ  ID: 9057

MediaWiki是一个自由、免费、内容开放的百科全书协作计划。

MediaWiki没有充分过滤用户提交的URI参数，远程攻击者可以利用这个漏洞包含远程服务器上的恶意文件，以WEB权限执行任意代码。

问题应该是对MediaWiki的'IP'参数缺少充分过滤，包含文件可被攻击者任意指令，如果指定远程服务器的恶意PHP文件，可导致以WEB进程权限执行。

<*来源：MediaWiki
  
  链接：http://sourceforge.net/project/shownotes.php?release_id=198060
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改php.ini配置文件，关闭'allow_url_fopen'和'register_globals'选项。

厂商补丁：

MediaWiki
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

MediaWiki APAR MediaWiki-20031117
http://prdownloads.sourceforge.net/wikipedia/mediawiki-20031117.tar.gz?download

浏览次数：2629
严重程度：0（网友投票）