Vulnerabilidad en las contraseñas en la base de datos local en MediaWiki (CVE-2012-4381)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
08/02/2020
Última modificación:
21/11/2024
Descripción
MediaWiki versiones anteriores a 1.18.5 y versiones 1.19.x anteriores a 1.19.2, guardan las contraseñas en la base de datos local, (1) lo que podría facilitar a atacantes dependiendo del contexto obtener contraseñas de texto sin cifrar por medio de un ataque de fuerza bruta o, (2) cuando un plugin de autenticación devuelve un falso en la función strict, podría permitir a atacantes remotos utilizar contraseñas antiguas para cuentas no existentes en un sistema de autenticación externo por medio de vectores no especificados.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:* | 1.18.5 (excluyendo) | |
| cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:* | 1.19.0 (incluyendo) | 1.19.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/show/osvdb/85106
- http://www.openwall.com/lists/oss-security/2012/08/31/10
- http://www.openwall.com/lists/oss-security/2012/08/31/6
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330
- https://bugzilla.redhat.com/show_bug.cgi?id=853442
- https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html
- https://phabricator.wikimedia.org/T41184
- http://osvdb.org/show/osvdb/85106
- http://www.openwall.com/lists/oss-security/2012/08/31/10
- http://www.openwall.com/lists/oss-security/2012/08/31/6
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330
- https://bugzilla.redhat.com/show_bug.cgi?id=853442
- https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html
- https://phabricator.wikimedia.org/T41184