Специалисты компании Check Point обнаружили критическую уязвимость в платформе MediaWiki. Уязвимость CVE-2014-1610 допускает удаленное исполнение кода на сайтах, которые работают на последних версиях этого движка. К счастью, WikiMedia Foundation успела выпустить патч для MediaWiki вскоре после того, как исследователи сообщили информацию. Организация разослала предупреждения родственным сайтам и организациям. 28 января новую версию MediaWiki установили на серверы Википедии.
Баг присутствует во всех установках MediaWiki, начиная с версии 1.8. Правда, чтобы запустить эксплоит, требуется активация одной настройки MediaWiki, которая отключена по умолчанию. Но если она активирована, как было на Википедии, то злоумышленник может вставлять вредоносный код непосредственно в HTML-страницы, которые генерирует движок. Учитывая огромную аудиторию Википедии (более 500 млн посетителей в месяц) — ведь это шестой по посещаемости сайт в мире — угроза была очень серьезной. Хорошо, что успели вовремя исправить.
По статистике MediaWiki, это всего лишь третья уязвимость с удаленным исполнением кода за последние восемь лет. С другой стороны, это вторая подобная уязвимость за последние три месяца, так что на статистику можно смотреть с разных сторон. За весь 2013 год в MediaWiki найдено 13 уязвимостей, из них один баг с исполнением кода, шесть уязвимостей XSS, две с обходом каких-либо настроек и три CSRF-уязвимости.
