آسيب‌پذيری حياتی در ويكی‌پديا

شماره: IRCNE2014022087
تاريخ: 12/11/92

بنياد ويكي‌پديا، نرم‌افزار MediaWiki كه توسط ويكي‌پديا مورد استفاده قرار مي‌گيرد و بسياري سايت‌هاي ديگر، ترميمي را براي يك آسيب‌پذيري حياتي اجراي كد از راه دور در اين برنامه عرضه كرده‌اند. اين نقص امنيتي اخيراً توسط شركت نرم‌افزاري Check Point Software گزارش شده بود. اين آسيب‌پذيري تمامي نسخه‌هاي MediaWiki از نسخه 1.8 به بعد و نيز نسخه‌هاي پشتيباني شده قبل از 1.21.5 و 1.22.2 را تحت تأثير قرار مي‌دهد.
بنا بر گزارش مربوط به اين نقص امنيتي در پايگاه داده WikiMedia، اين نقص امنيتي به هر كاربر راه دوري اجازه مي‌دهد كد پوسته (shell code) را بر روي سرور برنامه MediaWiki اجرا نمايد.
مطالعات بعدي WikiMedia نشان داده است كه نقص مشابهي در افزونه PdfHandler نيز وجود دارد كه مي‌تواند به همين طريق مورد سوء استفاده قرار گيرد. اين آسيب‌پذيري تحت نام CVE-2014-1610 شناسايي مي‌گردد.