Se
han publicado nuevas versiones de MediaWiki para las ramas 1.22, 1.21 y 1.19
que corrigen una vulnerabilidad que podría permitir a un atacante realizar
ataques cross-site scripting.
MediaWiki es un software de
código abierto de creación de sitios de edición colaborativa de páginas web,
comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es
popular por ser el utilizado para alojar y editar los artículos de Wikipedia.
El problema, con CVE-2014-3966, reside en que 'Special:PasswordReset' no filtra adecuadamente las entradas del parámetro
'username' antes de mostrar la
entrada. Esto podría dar lugar a ataques cross-site scripting. Esto permite a
usuarios remotos la ejecución de código script en el navegador del usuario. Con
ello el atacante podría acceder a las cookies (incluyendo las de autenticación)
y a información recientemente enviada, además de poder realizar acciones en el
sitio haciéndose pasar por la víctima.
Se encuentran disponibles en el sitio oficial de MediaWiki
las nuevas versiones 1.19.16, 1.21.10 y 1.22.7 que solucionan este problema.
Más información:
[MediaWiki-announce] MediaWiki Security and
Maintenance Releases: 1.19.16, 1.21.10 and 1.22.7
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario