CVE-2011-1578

Current Description

Cross-site scripting (XSS) vulnerability in MediaWiki before 1.16.3, when Internet Explorer 6 or earlier is used, allows remote attackers to inject arbitrary web script or HTML via an uploaded file accessed with a dangerous extension such as .html at the end of the query string, in conjunction with a modified URI path that has a %2E sequence in place of the . (dot) character.

Referenced by CVEs:CVE-2011-1587, CVE-2011-1765

Basic Data

PublishedApril 27, 2011
Last ModifiedAugust 17, 2017
Assignercve@mitre.org
Data TypeCVE
Data FormatMITRE
Data Version4.0
Problem TypeCWE-79
CVE Data Version4.0

Base Metric V2

CVSS 2 - Version2.0
CVSS 2 - Vector StringAV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 2 - Access VectorNETWORK
CVSS 2 - Access ComplexityMEDIUM
CVSS 2 - AuthenticationNONE
CVSS 2 - Confidentiality ImpactNONE
CVSS 2 - Availability ImpactNONE
CVSS 2 - Base Score4.3
SeverityMEDIUM
Exploitability Score8.6
Impact Score2.9
Obtain All Privilegefalse
Obtain User Privilegefalse
Obtain Other Privilegefalse

Base Metric V3

No data provided.

Configurations

  • AND
    • OR - Configuration 1
      Cpe VersionPartVendorProductVersionUpdateEditionLanguageSW EditionTarget SWTarget HWOtherVersion Start IncludingVersion End IncludingVersion Start ExcludingVersion End Excluding
      2.3ApplicationMediawikiMediawiki1.1.0*******
      2.3ApplicationMediawikiMediawiki1.2.0*******
      2.3ApplicationMediawikiMediawiki1.2.1*******
      2.3ApplicationMediawikiMediawiki1.2.2*******
      2.3ApplicationMediawikiMediawiki1.2.3*******
      2.3ApplicationMediawikiMediawiki1.2.4*******
      2.3ApplicationMediawikiMediawiki1.2.5*******
      2.3ApplicationMediawikiMediawiki1.2.6*******
      2.3ApplicationMediawikiMediawiki1.3*******
      2.3ApplicationMediawikiMediawiki1.3.0*******
      2.3ApplicationMediawikiMediawiki1.3.1*******
      2.3ApplicationMediawikiMediawiki1.3.2*******
      2.3ApplicationMediawikiMediawiki1.3.3*******
      2.3ApplicationMediawikiMediawiki1.3.4*******
      2.3ApplicationMediawikiMediawiki1.3.5*******
      2.3ApplicationMediawikiMediawiki1.3.6*******
      2.3ApplicationMediawikiMediawiki1.3.7*******
      2.3ApplicationMediawikiMediawiki1.3.8*******
      2.3ApplicationMediawikiMediawiki1.3.9*******
      2.3ApplicationMediawikiMediawiki1.3.10*******
      2.3ApplicationMediawikiMediawiki1.3.11*******
      2.3ApplicationMediawikiMediawiki1.3.12*******
      2.3ApplicationMediawikiMediawiki1.3.13*******
      2.3ApplicationMediawikiMediawiki1.3.14*******
      2.3ApplicationMediawikiMediawiki1.3.15*******
      2.3ApplicationMediawikiMediawiki1.4beta1******
      2.3ApplicationMediawikiMediawiki1.4beta2******
      2.3ApplicationMediawikiMediawiki1.4beta3******
      2.3ApplicationMediawikiMediawiki1.4beta4******
      2.3ApplicationMediawikiMediawiki1.4beta5******
      2.3ApplicationMediawikiMediawiki1.4beta6******
      2.3ApplicationMediawikiMediawiki1.4.0*******
      2.3ApplicationMediawikiMediawiki1.4.1*******
      2.3ApplicationMediawikiMediawiki1.4.2*******
      2.3ApplicationMediawikiMediawiki1.4.3*******
      2.3ApplicationMediawikiMediawiki1.4.4*******
      2.3ApplicationMediawikiMediawiki1.4.5*******
      2.3ApplicationMediawikiMediawiki1.4.6*******
      2.3ApplicationMediawikiMediawiki1.4.7*******
      2.3ApplicationMediawikiMediawiki1.4.8*******
      2.3ApplicationMediawikiMediawiki1.4.9*******
      2.3ApplicationMediawikiMediawiki1.4.10*******
      2.3ApplicationMediawikiMediawiki1.4.11*******
      2.3ApplicationMediawikiMediawiki1.4.12*******
      2.3ApplicationMediawikiMediawiki1.4.13*******
      2.3ApplicationMediawikiMediawiki1.4.14*******
      2.3ApplicationMediawikiMediawiki1.5alpha1******
      2.3ApplicationMediawikiMediawiki1.5alpha2******
      2.3ApplicationMediawikiMediawiki1.5beta1******
      2.3ApplicationMediawikiMediawiki1.5beta2******
      2.3ApplicationMediawikiMediawiki1.5beta3******
      2.3ApplicationMediawikiMediawiki1.5beta4******
      2.3ApplicationMediawikiMediawiki1.5rc2******
      2.3ApplicationMediawikiMediawiki1.5rc3******
      2.3ApplicationMediawikiMediawiki1.5rc4******
      2.3ApplicationMediawikiMediawiki1.5.0*******
      2.3ApplicationMediawikiMediawiki1.5.1*******
      2.3ApplicationMediawikiMediawiki1.5.2*******
      2.3ApplicationMediawikiMediawiki1.5.3*******
      2.3ApplicationMediawikiMediawiki1.5.4*******
      2.3ApplicationMediawikiMediawiki1.5.5*******
      2.3ApplicationMediawikiMediawiki1.5.6*******
      2.3ApplicationMediawikiMediawiki1.5.7*******
      2.3ApplicationMediawikiMediawiki1.5.8*******
      2.3ApplicationMediawikiMediawiki1.6.0*******
      2.3ApplicationMediawikiMediawiki1.6.1*******
      2.3ApplicationMediawikiMediawiki1.6.2*******
      2.3ApplicationMediawikiMediawiki1.6.3*******
      2.3ApplicationMediawikiMediawiki1.6.4*******
      2.3ApplicationMediawikiMediawiki1.6.5*******
      2.3ApplicationMediawikiMediawiki1.6.6*******
      2.3ApplicationMediawikiMediawiki1.6.7*******
      2.3ApplicationMediawikiMediawiki1.6.8*******
      2.3ApplicationMediawikiMediawiki1.6.9*******
      2.3ApplicationMediawikiMediawiki1.6.10*******
      2.3ApplicationMediawikiMediawiki1.6.11*******
      2.3ApplicationMediawikiMediawiki1.6.12*******
      2.3ApplicationMediawikiMediawiki1.7.0*******
      2.3ApplicationMediawikiMediawiki1.7.1*******
      2.3ApplicationMediawikiMediawiki1.7.2*******
      2.3ApplicationMediawikiMediawiki1.7.3*******
      2.3ApplicationMediawikiMediawiki1.8.0*******
      2.3ApplicationMediawikiMediawiki1.8.1*******
      2.3ApplicationMediawikiMediawiki1.8.2*******
      2.3ApplicationMediawikiMediawiki1.8.3*******
      2.3ApplicationMediawikiMediawiki1.8.4*******
      2.3ApplicationMediawikiMediawiki1.8.5*******
      2.3ApplicationMediawikiMediawiki1.9.0*******
      2.3ApplicationMediawikiMediawiki1.9.0rc2******
      2.3ApplicationMediawikiMediawiki1.9.1*******
      2.3ApplicationMediawikiMediawiki1.9.2*******
      2.3ApplicationMediawikiMediawiki1.9.3*******
      2.3ApplicationMediawikiMediawiki1.9.4*******
      2.3ApplicationMediawikiMediawiki1.9.5*******
      2.3ApplicationMediawikiMediawiki1.9.6*******
      2.3ApplicationMediawikiMediawiki1.10.0*******
      2.3ApplicationMediawikiMediawiki1.10.0rc1******
      2.3ApplicationMediawikiMediawiki1.10.0rc2******
      2.3ApplicationMediawikiMediawiki1.10.1*******
      2.3ApplicationMediawikiMediawiki1.10.2*******
      2.3ApplicationMediawikiMediawiki1.10.3*******
      2.3ApplicationMediawikiMediawiki1.10.4*******
      2.3ApplicationMediawikiMediawiki1.11*******
      2.3ApplicationMediawikiMediawiki1.11.0*******
      2.3ApplicationMediawikiMediawiki1.11.0rc1******
      2.3ApplicationMediawikiMediawiki1.11.1*******
      2.3ApplicationMediawikiMediawiki1.11.2*******
      2.3ApplicationMediawikiMediawiki1.12.0*******
      2.3ApplicationMediawikiMediawiki1.12.0rc1******
      2.3ApplicationMediawikiMediawiki1.12.1*******
      2.3ApplicationMediawikiMediawiki1.12.2*******
      2.3ApplicationMediawikiMediawiki1.12.3*******
      2.3ApplicationMediawikiMediawiki1.12.4*******
      2.3ApplicationMediawikiMediawiki1.13.0*******
      2.3ApplicationMediawikiMediawiki1.13.0rc1******
      2.3ApplicationMediawikiMediawiki1.13.0rc2******
      2.3ApplicationMediawikiMediawiki1.13.1*******
      2.3ApplicationMediawikiMediawiki1.13.2*******
      2.3ApplicationMediawikiMediawiki1.13.3*******
      2.3ApplicationMediawikiMediawiki1.13.4*******
      2.3ApplicationMediawikiMediawiki1.14.0*******
      2.3ApplicationMediawikiMediawiki1.14.0rc1******
      2.3ApplicationMediawikiMediawiki1.14.1*******
      2.3ApplicationMediawikiMediawiki1.15.0*******
      2.3ApplicationMediawikiMediawiki1.15.0rc1******
      2.3ApplicationMediawikiMediawiki1.15.1*******
      2.3ApplicationMediawikiMediawiki1.15.2*******
      2.3ApplicationMediawikiMediawiki1.15.3*******
      2.3ApplicationMediawikiMediawiki1.15.4*******
      2.3ApplicationMediawikiMediawiki1.15.5*******
      2.3ApplicationMediawikiMediawiki1.16.0*******
      2.3ApplicationMediawikiMediawiki1.16.0beta1******
      2.3ApplicationMediawikiMediawiki1.16.0beta2******
      2.3ApplicationMediawikiMediawiki1.16.1*******
      2.3ApplicationMediawikiMediawiki********1.16.2
    • OR Running on/with:
      Cpe VersionPartVendorProductVersionUpdateEditionLanguageSW EditionTarget SWTarget HWOtherVersion Start IncludingVersion End IncludingVersion Start ExcludingVersion End Excluding
      2.3ApplicationMicrosoftIe3.0*******
      2.3ApplicationMicrosoftIe4.0*******
      2.3ApplicationMicrosoftIe5*******
      2.3ApplicationMicrosoftIe********6

Vulnerable Software List

VendorProductVersions
Mediawiki Mediawiki *, 1.1.0, 1.10.0, 1.10.1, 1.10.2, 1.10.3, 1.10.4, 1.11, 1.11.0, 1.11.1, 1.11.2, 1.12.0, 1.12.1, 1.12.2, 1.12.3, 1.12.4, 1.13.0, 1.13.1, 1.13.2, 1.13.3, 1.13.4, 1.14.0, 1.14.1, 1.15.0, 1.15.1, 1.15.2, 1.15.3, 1.15.4, 1.15.5, 1.16.0, 1.16.1, 1.2.0, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.2.6, 1.3, 1.3.0, 1.3.1, 1.3.10, 1.3.11, 1.3.12, 1.3.13, 1.3.14, 1.3.15, 1.3.2, 1.3.3, 1.3.4, 1.3.5, 1.3.6, 1.3.7, 1.3.8, 1.3.9, 1.4, 1.4.0, 1.4.1, 1.4.10, 1.4.11, 1.4.12, 1.4.13, 1.4.14, 1.4.2, 1.4.3, 1.4.4, 1.4.5, 1.4.6, 1.4.7, 1.4.8, 1.4.9, 1.5, 1.5.0, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.5.5, 1.5.6, 1.5.7, 1.5.8, 1.6.0, 1.6.1, 1.6.10, 1.6.11, 1.6.12, 1.6.2, 1.6.3, 1.6.4, 1.6.5, 1.6.6, 1.6.7, 1.6.8, 1.6.9, 1.7.0, 1.7.1, 1.7.2, 1.7.3, 1.8.0, 1.8.1, 1.8.2, 1.8.3, 1.8.4, 1.8.5, 1.9.0, 1.9.1, 1.9.2, 1.9.3, 1.9.4, 1.9.5, 1.9.6

References

NameSourceURLTags
FEDORA-2011-5495http://lists.fedoraproject.org/pipermail/package-announce/2011-April/058588.htmlFEDORAPatch
FEDORA-2011-5848http://lists.fedoraproject.org/pipermail/package-announce/2011-April/058910.htmlFEDORA
FEDORA-2011-5812http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059232.htmlFEDORA
FEDORA-2011-5807http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059235.htmlFEDORA
[mediawiki-announce] 20110412 MediaWiki security release 1.16.3http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000096.htmlMLISTPatch Vendor Advisory
[oss-security] 20110413 Re: CVE request: mediawiki 1.16.3http://openwall.com/lists/oss-security/2011/04/13/15MLISTPatch
44142http://secunia.com/advisories/44142SECUNIAVendor Advisory
DSA-2366http://www.debian.org/security/2011/dsa-2366DEBIAN
47354http://www.securityfocus.com/bid/47354BID
ADV-2011-0978http://www.vupen.com/english/advisories/2011/0978VUPENVendor Advisory
ADV-2011-1100http://www.vupen.com/english/advisories/2011/1100VUPEN
ADV-2011-1151http://www.vupen.com/english/advisories/2011/1151VUPEN
https://bugzilla.redhat.com/show_bug.cgi?id=695577https://bugzilla.redhat.com/show_bug.cgi?id=695577CONFIRMPatch
https://bugzilla.redhat.com/show_bug.cgi?id=696360https://bugzilla.redhat.com/show_bug.cgi?id=696360CONFIRMPatch
https://bugzilla.wikimedia.org/show_bug.cgi?id=28235https://bugzilla.wikimedia.org/show_bug.cgi?id=28235CONFIRMExploit Patch
mediawiki-file-extensions-xss(66737)https://exchange.xforce.ibmcloud.com/vulnerabilities/66737XF