MediaWiki includes/User.php认证绕过漏洞 CVE-2011-1766 CNNVD-201105-241

5.8 AV AC AU C I A
发布: 2011-05-23
修订: 2011-06-16

MediaWiki是美国维基媒体(Wikimedia)基金会和MediaWiki志愿者共同开发维护的一套自由免费的基于网络的Wiki引擎,它可用于部署内部的知识管理和内容管理系统。 当wgBlockDisablesLogin启用时,MediaWiki 1.16.5之前版本中的includes/User.php不能在认证令牌验证失败后,清除某些缓存数据。远程攻击者可以通过创建特制的wikiUserID和wikiUserName cookies,或者利用无人值守的工作站绕过认证。

0%
暂无可用Exp或PoC
当前有137条受影响产品信息