lunes, 9 de junio de 2014

Cross-site scripting en MediaWiki

Se han publicado nuevas versiones de MediaWiki para las ramas 1.22, 1.21 y 1.19 que corrigen una vulnerabilidad que podría permitir a un atacante realizar ataques cross-site scripting.

MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.

El problema, con CVE-2014-3966, reside en que 'Special:PasswordReset' no filtra adecuadamente las entradas del parámetro 'username' antes de mostrar la entrada. Esto podría dar lugar a ataques cross-site scripting. Esto permite a usuarios remotos la ejecución de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se encuentran disponibles en el sitio oficial de MediaWiki las nuevas versiones 1.19.16, 1.21.10 y 1.22.7 que solucionan este problema.

Más información:

[MediaWiki-announce] MediaWiki Security and Maintenance Releases: 1.19.16, 1.21.10 and 1.22.7





Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada