Se han
publicado nuevas versiones de MediaWiki para las ramas 1.27, 1.26 y 1.23 que
corrigen diferentes fallos de seguridad, que podrían permitir a un atacante
realizar ataques de cross-site scripting y eludir restricciones de seguridad.
MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.
Detalle de la actualización
Recomendación
- Un problema corregido reside en cross-site scriptings por la codificación del carácter "%" dentro de enlaces internos y en la previsualización de CSS.
- Otro problema por un error en la API relacionado con la generación de elementos de las cabeceras. Usuarios con permisos de recuperación pueden borrar el estado de una revisión de archivo (incluso si el archivo está eliminado), cuando realmente no tienen permisos para ello. Las cuentas eliminadas no cerraban adecuadamente la sesión, de forma que un usuario autenticado podía seguir accediendo aun con una cuenta ya cerrada o inexistente. Por último la API podía emplearse para eludir completamente la extensión Lockdown.
Recomendación
- Las nuevas versiones 1.27.1, 1.26.4 y 1.23.15 solucionan estas vulnerabilidades, las cuales pueden descargarse desde el siguiente URL https://www.mediawiki.org/wiki/Download
Más
información:
- MediaWiki Release notes 1.27 https://www.mediawiki.org/wiki/Release_notes/1.27
- MediaWiki Release notes 1.26 https://www.mediawiki.org/wiki/Release_notes/1.26
- MediaWiki Release notes 1.23 https://www.mediawiki.org/wiki/Release_notes/1.23
