Se
ha reportado
una vulnerabilidad en Dotclear que podría permitir a un atacante remoto realizar
ataques de Cross Site Scripting (XSS).
Dotclear es un software de
publicación web de código abierto, es una herramienta fácil de usar que permite
publicar en la web independientemente de las capacidades técnicas del usuario.
Es un software libre diseñado principalmente para los usuarios, permitiéndoles
contribuir a mejorarlo. Todo el mundo puede usarlo y modificarlo de acuerdo a
la licencia de software.
Como
hemos comentado en otras ocasiones, un ataque Cross-site Scripting (o XSS)
se basa en que una página web no filtra correctamente ciertos caracteres
especiales y permite ejecutar código script arbitrario.
La vulnerabilidad, anunciada por Yuji
Tounai perteneciente a NTT Com Security(Japan)KK , tiene asignado el
identificador CVE-2015-5651.
Esta vulnerabilidad permitiría a
un atacante remoto no autenticado ejecutar código arbitrario en el navegador de
un usuario que visite una página web maliciosa, bajo el contexto de la web
atacada.
Esta vulnerabilidad se han
reportado en la versión 2.8.0 aunque también podría afectar a versiones
anteriores. Se recomienda actualizar a versión 2.8.1
Más información:
Dotclear vulnerable to cross-site scripting
Dotclear 2.8.1
Una-al-día (20/10/2013). No te
dejes engañar por las vulnerabilidades leves (I)
Juan Sánchez
