Se han publicado nuevas versiones de MediaWiki para las ramas 1.22, 1.21
y 1.19 que corrigen una vulnerabilidad que podría permitir a un atacante
realizar ataques cross-site scripting.
MediaWiki es un software de código abierto de creación de sitios de
edición colaborativa de páginas web, comúnmente conocidos como wikis.
Entre este tipo de software, MediaWiki es popular por ser el utilizado
para alojar y editar los artículos de Wikipedia.
El problema, con CVE-2014-3966, reside en que 'Special:PasswordReset'
no filtra adecuadamente las entradas del parámetro 'username' antes
de mostrar la entrada. Esto podría dar lugar a ataques cross-site
scripting. Esto permite a usuarios remotos la ejecución de código script
en el navegador del usuario. Con ello el atacante podría acceder a las
cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar
por la víctima.
Se encuentran disponibles en el sitio oficial de MediaWiki las nuevas
versiones 1.19.16, 1.21.10 y 1.22.7 que solucionan este problema.
Download - MediaWiki
Más información:
[MediaWiki-announce] MediaWiki Security and Maintenance Releases: 1.19.16, 1.21.10 and 1.22.7
[MediaWiki-announce] MediaWiki Security and Maintenance Releases: 1.19.16, 1.21.10 and 1.22.7
y 1.19 que corrigen una vulnerabilidad que podría permitir a un atacante
realizar ataques cross-site scripting.
MediaWiki es un software de código abierto de creación de sitios de
edición colaborativa de páginas web, comúnmente conocidos como wikis.
Entre este tipo de software, MediaWiki es popular por ser el utilizado
para alojar y editar los artículos de Wikipedia.
El problema, con CVE-2014-3966, reside en que 'Special:PasswordReset'
no filtra adecuadamente las entradas del parámetro 'username' antes
de mostrar la entrada. Esto podría dar lugar a ataques cross-site
scripting. Esto permite a usuarios remotos la ejecución de código script
en el navegador del usuario. Con ello el atacante podría acceder a las
cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar
por la víctima.
Se encuentran disponibles en el sitio oficial de MediaWiki las nuevas
versiones 1.19.16, 1.21.10 y 1.22.7 que solucionan este problema.
Download - MediaWiki
Más información:
[MediaWiki-announce] MediaWiki Security and Maintenance Releases: 1.19.16, 1.21.10 and 1.22.7
[MediaWiki-announce] MediaWiki Security and Maintenance Releases: 1.19.16, 1.21.10 and 1.22.7