Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/06/2014
Cross-site scripting en MediaWiki
S’han publicat noves versions de MediaWiki per a les branques 1.22, 1.21 i 1.19 que corregixen una vulnerabilitat que podria permetre a un atacant realitzar atacs cross-site scripting.MediaWiki és un programari de codi obert de creació de llocs d’edició col·laborativa de pàgines web, comunament coneguts com wikis. Entre este tipus de programari, MediaWiki és popular per ser l’utilitzat per a allotjar i editar els articles de Wikipèdia.
El problema, residix en el fet que 'Special:PasswordReset' no filtra adequadament les entrades del paràmetre 'username' abans de mostrar l’entrada. Açò podria donar lloc a atacs cross-site scripting. Açò permet a usuaris remots l’execució de codi script en el navegador de l’usuari. Amb això l’atacant podria accedir a les cookies (incloses les d’autenticació) i a informació recentment enviada, a més de poder realitzar accions en el lloc fent-se passar per la víctima.
Sistemes Afectats:
Versions de MediaWiki branques 1.22, 1.21 i 1.19
Referències:CVE-2014-3966
Solució:Es troben disponibles en el lloc oficial de MediaWiki les noves versions 1.19.16, 1.21.10 i 1.22.7 que solucionen este problema.
Notes: None