MediaWiki es un proyecto de código abierto que proporciona un motor libre de carácter colaborativo editable por los usuarios, lo que se conoce habitualmente como un wiki. El principal baluarte y ejemplo más representativo de esta plataforma es la enciclopedia libre, la Wikipedia, si bien muchos usuarios emplean MediaWiki para conformar sus propios motores colaborativos.
SpecialBlockip.php se usa para bloquear IPs y usuarios, este script hace una llamada a la función "getContribsLink" sin escapar debidamente las variables de entrada. Esto podría facilitar que un atacante ejecutase código arbitrario HTML y/o script en el contexto de la sesión de navegación del usuario. Esto le permitiría mostrar contenidos ilegítimos en páginas legítimas o acceder a información del usuario.
El problema, de carácter moderadamente crítico, requiere la actualización a las versiones liberadas para tal efecto. El problema afecta a las dos ramas de MediaWiki en funcionamiento, la 1.4.0 y la 1.5.0, con lo que se recomienda a los administradores la actualización con carácter inmediato a las versiones 1.14.1 y 1.15.1, que además solucionan otros fallos. En caso de requerir asistencia, los administradores MediaWiki pueden acudir al soporte comunitario a través de IRC, en el canal #mediawiki de irc.freenode.net
Victor Antonio Torre
vtorre@hispasec.com
vtorre@hispasec.com
Más información:
[MediaWiki-announce] MediaWiki security update: 1.15.1 and 1.14.1
http://lists.wikimedia.org/pipermail/mediawiki-announce/2009-July/000087.html
No hay comentarios:
Publicar un comentario