关键漏洞信息 漏洞标题: Local path disclosure when using ImageMagick as a scaler 状态: Closed, Resolved 类型: Vulnerability - Infoleak 相关团队: Security-Team 相关版本: - MW-1.25-release (Backlog) - MW-1.24-release (Backlog) - MW-1.23-release (Backlog) - MW-1.26-release (Backlog) - MW-1.27-release (Backlog) - MW-1.27-release-notes CVE编号: CVE-2015-8005 CVE类型: CWE-201 描述 问题描述: 使用 ImageMagick 作为图像缩放器时,MediaWiki 提供的 参数会导致 ImageMagick 在输出图像中嵌入名为 “Thumb.URI”的“freedesktop.org Thumbnail Managing Standard” 元数据。此类元数据包括本地文件路径,通过公共访问缩略图图像可能会暴露潜在敏感的安装信息。 受影响版本: - MediaWiki 1.23 及以上 - MediaWiki 1.24 及以上 - MediaWiki 1.25 及以上 - MediaWiki 1.26 及以上 - MediaWiki 1.27 及以上 修复信息: - 提交了修复补丁:T108616_00.patch - 相关提交在 Gerrit 中进行审查和合并。 - 修复已在多个 MediaWiki 版本中部署。 相关讨论 操作和建议: - 使用 命令行参数来移除元数据参数。 - 讨论了潜在的后续工作,如移除其他缩略图元数据或使 Thumb::URI 指向原始图像的实际公共 URL。 后续影响 相关链接和跟踪记录: - Gerrit 拉取请求 - 相关任务跟踪 - 存在关于与 GraphicsMagick 兼容性的问题报告,建议用户使用最新版本。