Se ha reportado una vulnerabilidad en Dotclear que podría permitir a un atacante remoto realizar ataques de Cross Site Scripting (XSS).
Dotclear es un software de publicación web de código abierto, es una
herramienta fácil de usar que permite publicar en la web independientemente de
las capacidades técnicas del usuario. Es un software libre diseñado
principalmente para los usuarios, permitiéndoles contribuir a mejorarlo. Todo
el mundo puede usarlo y modificarlo de acuerdo a la licencia de software.
Como hemos comentado en otras ocasiones, un ataque Cross-site
Scripting (o XSS) se basa en que una página web no filtra correctamente ciertos
caracteres especiales y permite ejecutar código script arbitrario.
La vulnerabilidad, anunciada por Yuji Tounai perteneciente a NTT Com
Security(Japan)KK , tiene asignado el identificador CVE-2015-5651.
Esta vulnerabilidad permitiría a un atacante remoto no autenticado
ejecutar código arbitrario en el navegador de un usuario que visite una página
web maliciosa, bajo el contexto de la web atacada.
Esta vulnerabilidad se han reportado en la versión 2.8.0 aunque
también podría afectar a versiones anteriores. Se recomienda actualizar a
versión 2.8.1 http://dotclear.org/download
Más información:
- Dotclear vulnerable to cross-site scripting http://jvndb.jvn.jp/en/contents/2015/JVNDB-2015-000148.html
- Dotclear 2.8.1http://dotclear.org/blog/post/2015/09/23/Dotclear-2.8.1