Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/06/2014
Cross-site scripting en MediaWiki
Se han publicado nuevas versiones de MediaWiki para las ramas 1.22, 1.21 y 1.19 que corrigen una vulnerabilidad que podría permitir a un atacante realizar ataques cross-site scripting.MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.
El problema, reside en que 'Special:PasswordReset' no filtra adecuadamente las entradas del parámetro 'username' antes de mostrar la entrada. Esto podría dar lugar a ataques cross-site scripting. Esto permite a usuarios remotos la ejecución de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Sistemas Afectados:
Versiones de MediaWiki ramas 1.22, 1.21 y 1.19
Referencias:CVE-2014-3966
Solución:Se encuentran disponibles en el sitio oficial de MediaWiki las nuevas versiones 1.19.16, 1.21.10 y 1.22.7 que solucionan este problema.
Notas: None