Software-update: MediaWiki 1.11.1 / 1.10.3 / 1.9.5

Mediawiki is een wiki-engine, uitgegeven onder de gpl-licentie, die gebruikt kan worden om content te creëren en te beheren. Het wordt onder andere gebruikt voor de websites van de Wikimedia Foundation, zoals Wikipedia, Wiktionary, Wikisource, Wikibooks en Wikiquote. Het uiterlijk is met behulp van skins geheel naar eigen wensen aan te passen, op deze pagina staan een aantal voorbeelden van verschillende skins. De ontwikkelaars hebben een xss-vulnerability met Internet Explorer opgelost en daarvoor een reeks nieuwe versies uitgebracht met 1.11.1, 1.10.3 en 1.9.5 als de versienummers:

Version 1.11.1 / 1.10.3 / 1.9.5:

This is a security and bugfix release of the Fall, Spring, and Winter 2007 snapshot releases of MediaWiki. A potential XSS injection vector affecting api.php only for Microsoft Internet Explorer users has been closed.

To work around the vulnerability without upgrading, you may disable the API if you don't need it:

~ $wgEnableAPI = false;

Not vulnerable versions:

• 1.12 or later
• 1.11 >= 1.11.1
• 1.10 >= 1.10.3
• 1.9 >= 1.9.5
• 1.8 any version (if $wgEnableAPI has been left off)

Vulnerable versions:

• 1.11 <= 1.11.0rc1
• 1.10 <= 1.10.2
• 1.9 <= 1.9.4
• 1.8 any version (if $wgEnableAPI has been switched on)

MediaWiki 1.7 and below are not affected as they do not include the API functionality, however the BotQuery extension is similarly vulnerable unless updated to the latest SVN version.[break]De volgende bestanden zijn binnen te halen:
MediaWiki 1.11.1
MediaWiki 1.10.3
MediaWiki 1.9.5