Mehrere Schwachstellen in der Open-Source-Software MediaWiki ermöglichen es Angreifern, Informationen offenzulegen, beliebigen Programmcode auszuführen und Cross‑Site‑Scripting‑Angriffe zu starten, wie das aktuelle Security Advisory WID‑SEC‑2026‑2135 des CERT‑Bundes beschreibt.
Technische Details
Die im Advisory genannten Schwachstellen betreffen verschiedene Komponenten von MediaWiki, insbesondere die Verarbeitung von Benutzereingaben und die Ausführung von Skripten. Durch fehlerhafte Validierung können manipulierte Daten in die Anwendung eingeschleust werden.
Mögliche Folgen
Ein erfolgreicher Angriff kann zur unautorisierten Offenlegung sensibler Daten, zur Ausführung von beliebigem Code auf dem betroffenen Server sowie zur Durchführung von Cross‑Site‑Scripting führen, wodurch Nutzerinteraktionen manipuliert werden können.
Betroffene Systeme
Das Advisory gibt keine konkreten Versionsangaben an, weist jedoch darauf hin, dass alle installierten Instanzen von MediaWiki potenziell betroffen sein können, sofern die genannten Schwachstellen nicht bereits gepatcht wurden.
Empfohlene MaĂźnahmen
Der CERT‑Bund rät Administratoren, die von MediaWiki veröffentlichten Sicherheitspatches umgehend zu installieren, die Konfiguration zu überprüfen und gegebenenfalls zusätzliche Schutzmechanismen wie Content‑Security‑Policy zu aktivieren.
Bedeutung fĂĽr die Nutzer
Da MediaWiki weltweit von zahlreichen Organisationen, darunter die Wikipedia, eingesetzt wird, können die beschriebenen Risiken eine breite Nutzerbasis betreffen. Ein zeitnahes Update reduziert das Gefährdungspotenzial erheblich.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Uebertragung