В популярном wiki-движке MediaWiki, используемом для обеспечения работы сайта Wikipedia, обнаружена критическая уязвимость (CVE-2014-1610), проявляющаяся при включении не активированной по умолчанию поддержки загрузки файлов в формате DjVu.
Ошибка в коде создания миниатюр для файлов DjVu позволяет злоумышленнику организовать выполнение произвольного PHP-кода на сервере. Аналогичная проблема обнаружена в коде создания миниатюр при включенной поддержке загрузки PDF-файлов, но она проявляется только при установке дополнения PdfHandler, пишет opennet.ru.
Проблемы исправлены в выпусках 1.22.2, 1.21.5 и 1.19.11. Уязвимость выявлена сотрудником компании Check Point и оперативно исправлена в Wikipedia до публичного обнародования информации о проблеме.
