17 de octubre de 2015

DOTCLEAR. Detectada Vulnerabilidad

Se ha reportado una vulnerabilidad en Dotclear que podría permitir a un atacante remoto realizar ataques de Cross Site Scripting (XSS).
Dotclear es un software de publicación web de código abierto, es una herramienta fácil de usar que permite publicar en la web independientemente de las capacidades técnicas del usuario. Es un software libre diseñado principalmente para los usuarios, permitiéndoles contribuir a mejorarlo. Todo el mundo puede usarlo y modificarlo de acuerdo a la licencia de software.
Como hemos comentado en otras ocasiones, un ataque Cross-site Scripting (o XSS) se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código script arbitrario.
La vulnerabilidad, anunciada por Yuji Tounai perteneciente a NTT Com Security(Japan)KK , tiene asignado el identificador CVE-2015-5651.
Esta vulnerabilidad permitiría a un atacante remoto no autenticado ejecutar código arbitrario en el navegador de un usuario que visite una página web maliciosa, bajo el contexto de la web atacada.
Esta vulnerabilidad se han reportado en la versión 2.8.0 aunque también podría afectar a versiones anteriores. Se recomienda actualizar a versión 2.8.1 http://dotclear.org/download
Más información:
Fuente: Hispasec