CVE-2013-2031: XSS
First published: Fri Nov 15 2013(Updated: )
MediaWiki before 1.19.6 and 1.20.x before 1.20.5 allows remote attackers to conduct cross-site scripting (XSS) attacks, as demonstrated by a CDATA section containing valid UTF-7 encoded sequences in a SVG file, which is then incorrectly interpreted as UTF-8 by Chrome and Firefox.
Credit: secalert@redhat.com
| Affected Software | Affected Version | How to fix |
|---|---|---|
| Gentoo Linux | ||
| Wikimedia MediaWiki | <=1.19.5 | |
| Wikimedia MediaWiki | =1.1.0 | |
| Wikimedia MediaWiki | =1.10.0 | |
| Wikimedia MediaWiki | =1.10.0-rc1 | |
| Wikimedia MediaWiki | =1.10.0-rc2 | |
| Wikimedia MediaWiki | =1.10.1 | |
| Wikimedia MediaWiki | =1.10.2 | |
| Wikimedia MediaWiki | =1.10.3 | |
| Wikimedia MediaWiki | =1.10.4 | |
| Wikimedia MediaWiki | =1.11 | |
| Wikimedia MediaWiki | =1.11.0 | |
| Wikimedia MediaWiki | =1.11.0-rc1 | |
| Wikimedia MediaWiki | =1.11.1 | |
| Wikimedia MediaWiki | =1.11.2 | |
| Wikimedia MediaWiki | =1.12.0 | |
| Wikimedia MediaWiki | =1.12.0-rc1 | |
| Wikimedia MediaWiki | =1.12.1 | |
| Wikimedia MediaWiki | =1.12.2 | |
| Wikimedia MediaWiki | =1.12.3 | |
| Wikimedia MediaWiki | =1.12.4 | |
| Wikimedia MediaWiki | =1.13.0 | |
| Wikimedia MediaWiki | =1.13.0-rc1 | |
| Wikimedia MediaWiki | =1.13.0-rc2 | |
| Wikimedia MediaWiki | =1.13.1 | |
| Wikimedia MediaWiki | =1.13.2 | |
| Wikimedia MediaWiki | =1.13.3 | |
| Wikimedia MediaWiki | =1.13.4 | |
| Wikimedia MediaWiki | =1.14.0 | |
| Wikimedia MediaWiki | =1.14.0-rc1 | |
| Wikimedia MediaWiki | =1.14.1 | |
| Wikimedia MediaWiki | =1.15.0 | |
| Wikimedia MediaWiki | =1.15.0-rc1 | |
| Wikimedia MediaWiki | =1.15.1 | |
| Wikimedia MediaWiki | =1.15.2 | |
| Wikimedia MediaWiki | =1.15.3 | |
| Wikimedia MediaWiki | =1.15.4 | |
| Wikimedia MediaWiki | =1.15.5 | |
| Wikimedia MediaWiki | =1.16.0 | |
| Wikimedia MediaWiki | =1.16.0-beta1 | |
| Wikimedia MediaWiki | =1.16.0-beta2 | |
| Wikimedia MediaWiki | =1.16.0-beta3 | |
| Wikimedia MediaWiki | =1.16.1 | |
| Wikimedia MediaWiki | =1.16.2 | |
| Wikimedia MediaWiki | =1.17 | |
| Wikimedia MediaWiki | =1.17-beta_1 | |
| Wikimedia MediaWiki | =1.17.0 | |
| Wikimedia MediaWiki | =1.17.0-rc1 | |
| Wikimedia MediaWiki | =1.17.1 | |
| Wikimedia MediaWiki | =1.17.2 | |
| Wikimedia MediaWiki | =1.17.3 | |
| Wikimedia MediaWiki | =1.17.4 | |
| Wikimedia MediaWiki | =1.18 | |
| Wikimedia MediaWiki | =1.18-beta_1 | |
| Wikimedia MediaWiki | =1.18.0 | |
| Wikimedia MediaWiki | =1.18.0-rc1 | |
| Wikimedia MediaWiki | =1.18.1 | |
| Wikimedia MediaWiki | =1.18.2 | |
| Wikimedia MediaWiki | =1.18.3 | |
| Wikimedia MediaWiki | =1.19 | |
| Wikimedia MediaWiki | =1.19-beta_1 | |
| Wikimedia MediaWiki | =1.19-beta_2 | |
| Wikimedia MediaWiki | =1.19.0 | |
| Wikimedia MediaWiki | =1.19.1 | |
| Wikimedia MediaWiki | =1.19.2 | |
| Wikimedia MediaWiki | =1.19.3 | |
| Wikimedia MediaWiki | =1.19.4 | |
| Wikimedia MediaWiki | =1.20.1 | |
| Wikimedia MediaWiki | =1.20.2 | |
| Wikimedia MediaWiki | =1.20.3 | |
| Wikimedia MediaWiki | =1.20.4 |
Never miss a vulnerability like this again
Sign up to SecAlerts for real-time vulnerability data matched to your software, aggregated from hundreds of sources.
Reference Links
- http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105784.html
- http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105825.html
- http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106293.html
- http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-April/000129.html
- http://secunia.com/advisories/55433
- http://secunia.com/advisories/57472
- http://security.gentoo.org/glsa/glsa-201310-21.xml
- http://www.debian.org/security/2014/dsa-2891
- http://www.openwall.com/lists/oss-security/2013/05/01/2
- http://www.securityfocus.com/bid/59594
- https://bugzilla.wikimedia.org/show_bug.cgi?id=47304
Frequently Asked Questions
What is the severity of CVE-2013-2031?
CVE-2013-2031 is classified as a high severity vulnerability due to its potential for cross-site scripting (XSS) attacks.
How do I fix CVE-2013-2031?
To fix CVE-2013-2031, upgrade MediaWiki to version 1.19.6 or 1.20.5 or later.
Which versions of MediaWiki are affected by CVE-2013-2031?
CVE-2013-2031 affects MediaWiki versions prior to 1.19.6 and all 1.20.x versions before 1.20.5.
What are the potential impacts of CVE-2013-2031?
The potential impacts of CVE-2013-2031 include unauthorized script execution in a user's browser leading to data theft or session hijacking.
How can I determine if my MediaWiki installation is vulnerable to CVE-2013-2031?
To determine if your MediaWiki installation is vulnerable, check the version against the affected versions listed for CVE-2013-2031.
- agent/type
- agent/references
- agent/weakness
- agent/severity
- agent/author
- agent/remedy
- agent/softwarecombine
- agent/description
- collector/mitre-cve
- source/MITRE
- agent/last-modified-date
- agent/first-publish-date
- agent/event
- agent/source
- agent/tags
- collector/nvd-index
- agent/software-canonical-lookup-request
- vendor/gentoo
- canonical/gentoo linux
- vendor/mediawiki
- canonical/wikimedia mediawiki
- version/wikimedia mediawiki/1.19.5
- version/wikimedia mediawiki/1.1.0
- version/wikimedia mediawiki/1.10.0
- version/wikimedia mediawiki/1.10.0-rc1
- version/wikimedia mediawiki/1.10.0-rc2
- version/wikimedia mediawiki/1.10.1
- version/wikimedia mediawiki/1.10.2
- version/wikimedia mediawiki/1.10.3
- version/wikimedia mediawiki/1.10.4
- version/wikimedia mediawiki/1.11
- version/wikimedia mediawiki/1.11.0
- version/wikimedia mediawiki/1.11.0-rc1
- version/wikimedia mediawiki/1.11.1
- version/wikimedia mediawiki/1.11.2
- version/wikimedia mediawiki/1.12.0
- version/wikimedia mediawiki/1.12.0-rc1
- version/wikimedia mediawiki/1.12.1
- version/wikimedia mediawiki/1.12.2
- version/wikimedia mediawiki/1.12.3
- version/wikimedia mediawiki/1.12.4
- version/wikimedia mediawiki/1.13.0
- version/wikimedia mediawiki/1.13.0-rc1
- version/wikimedia mediawiki/1.13.0-rc2
- version/wikimedia mediawiki/1.13.1
- version/wikimedia mediawiki/1.13.2
- version/wikimedia mediawiki/1.13.3
- version/wikimedia mediawiki/1.13.4
- version/wikimedia mediawiki/1.14.0
- version/wikimedia mediawiki/1.14.0-rc1
- version/wikimedia mediawiki/1.14.1
- version/wikimedia mediawiki/1.15.0
- version/wikimedia mediawiki/1.15.0-rc1
- version/wikimedia mediawiki/1.15.1
- version/wikimedia mediawiki/1.15.2
- version/wikimedia mediawiki/1.15.3
- version/wikimedia mediawiki/1.15.4
- version/wikimedia mediawiki/1.15.5
- version/wikimedia mediawiki/1.16.0
- version/wikimedia mediawiki/1.16.0-beta1
- version/wikimedia mediawiki/1.16.0-beta2
- version/wikimedia mediawiki/1.16.0-beta3
- version/wikimedia mediawiki/1.16.1
- version/wikimedia mediawiki/1.16.2
- version/wikimedia mediawiki/1.17
- version/wikimedia mediawiki/1.17-beta_1
- version/wikimedia mediawiki/1.17.0
- version/wikimedia mediawiki/1.17.0-rc1
- version/wikimedia mediawiki/1.17.1
- version/wikimedia mediawiki/1.17.2
- version/wikimedia mediawiki/1.17.3
- version/wikimedia mediawiki/1.17.4
- version/wikimedia mediawiki/1.18
- version/wikimedia mediawiki/1.18-beta_1
- version/wikimedia mediawiki/1.18.0
- version/wikimedia mediawiki/1.18.0-rc1
- version/wikimedia mediawiki/1.18.1
- version/wikimedia mediawiki/1.18.2
- version/wikimedia mediawiki/1.18.3
- version/wikimedia mediawiki/1.19
- version/wikimedia mediawiki/1.19-beta_1
- version/wikimedia mediawiki/1.19-beta_2
- version/wikimedia mediawiki/1.19.0
- version/wikimedia mediawiki/1.19.1
- version/wikimedia mediawiki/1.19.2
- version/wikimedia mediawiki/1.19.3
- version/wikimedia mediawiki/1.19.4
- version/wikimedia mediawiki/1.20.1
- version/wikimedia mediawiki/1.20.2
- version/wikimedia mediawiki/1.20.3
- version/wikimedia mediawiki/1.20.4