Se han publicado nuevas versiones de MediaWiki para las
ramas 1.22, 1.21 y 1.19 que corrigen una vulnerabilidad que podría permitir a
un atacante realizar ataques cross-site scripting.
MediaWiki es un
software de código abierto de creación de sitios de edición colaborativa de
páginas web, comúnmente conocidos como wikis. Entre este tipo de software,
MediaWiki es popular por ser el utilizado para alojar y editar los artículos de
Wikipedia.
Detalles del problema
- El problema, con CVE-2014-3966, reside en que 'Special:PasswordReset' no filtra adecuadamente las entradas del parámetro 'username' antes de mostrar la entrada. Esto podría dar lugar a ataques cross-site scripting. Esto permite a usuarios remotos la ejecución de código script en el navegador del usuario.
- Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
- Se encuentran disponibles en el sitio oficial de MediaWiki las nuevas versiones 1.19.16, 1.21.10 y 1.22.7 que solucionan este problema.
- [MediaWiki-announce] MediaWiki Security and Maintenance Releases: 1.19.16, 1.21.10 and 1.22.7 http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-May/000151.html
