MediaWiki es software libre para
la creación de wikis. Originalmente este proyecto fue creado para Wikipedia.
Los errores son los detallados a continuación.
- Un error en el módulo de boqueo
y desbloqueo podría permitir a un atacante remoto sin privilegios bloquear y
desbloquear a otros usuarios a través de un ataque Cross-site request forgery
(CSRF).
- Un error en el gestor de
recursos podría permitir cargar el módulo "user.tokens" y revelar información sensible. Esto podría ser aprovechado
por un atacante remoto para robar el token de usuario comprometiendo.
- Un error en "Special:Upload" podría permitir
subir archivos sin la interacción del usuario, afectando la integridad del
sitio vulnerado a través de un ataque Cross-site request forgery (CSRF).
- Un error a forma de generar de
números aleatorios podría permitir a un atacante remoto resetear el correo de
la víctima a través de un ataque de generación de números pseudo-aleatorios
(PRNG).
- Un error en el analizador de texto en la extensión CharInsert podría causar una denegación de servicio de bucle infinito, y potencialmente, la ejecución de scripts aleatorios a través de un ataque cross.-site scripting.
Los errores están subsanados y
las versiones corregidas se pueden descargar desde su página oficial http://dumps.wikimedia.org/mediawiki/
Más información:
MediaWiki-announce
Jose Ignacio Palacios
Ortega
Twitter: @jpalaciosortega
No hay comentarios:
Publicar un comentario