Se ha reportado una vulnerabilidad en Dotclear que podría permitir a un atacante remoto realizar ataques de Cross Site Scripting (XSS).
Dotclear es un software de publicación web de código abierto, es una herramienta fácil de usar que permite publicar en la web independientemente de las capacidades técnicas del usuario. Es un software libre diseñado principalmente para los usuarios, permitiéndoles contribuir a mejorarlo. Todo el mundo puede usarlo y modificarlo de acuerdo a la licencia de software.
Como hemos comentado en otras ocasiones, un ataque Cross-site Scripting (o XSS) se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código script arbitrario.
La vulnerabilidad, anunciada por Yuji Tounai perteneciente a NTT Com Security(Japan)KK , tiene asignado el identificador CVE-2015-5651.
Esta vulnerabilidad permitiría a un atacante remoto no autenticado ejecutar código arbitrario en el navegador de un usuario que visite una página web maliciosa, bajo el contexto de la web atacada.
Esta vulnerabilidad se han reportado en la versión 2.8.0 aunque también podría afectar a versiones anteriores. Se recomienda actualizar a versión 2.8.1
Más información:
Dotclear vulnerable to cross-site scripting
Dotclear 2.8.1
Una-al-día (20/10/2013). No te dejes engañar por las vulnerabilidades leves (I)
Juan Sánchez
Deja un comentario