Cabecera-v2-web.jpg

Nuevas versiones de MediaWiki corrigen diversas vulnerabilidades


Se han publicado nuevas versiones de MediaWiki para las ramas 1.27, 1.26 y 1.23 que corrigen diferentes fallos de seguridad, que podrí­an permitir a un atacante realizar ataques de cross-site scripting y eludir restricciones de seguridad.

MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artí­culos de Wikipedia.

Un problema corregido reside en cross-site scriptings por la codificación del carácter "%" dentro de enlaces internos y en la previsualización de CSS. Otro problema por un error en la API relacionado con la generación de elementos de las cabeceras. Usuarios con permisos de recuperación pueden borrar el estado de una revisión de archivo (incluso si el archivo está eliminado), cuando realmente no tienen permisos para ello. Las cuentas eliminadas no cerraban adecuadamente la sesión, de forma que un usuario autenticado podí­a seguir accediendo aun con una cuenta ya cerrada o inexistente. Por último la API podí­a emplearse para eludir completamente la extensión Lockdown.
Las nuevas versiones 1.27.1, 1.26.4 y 1.23.15 solucionan estas vulnerabilidades. Pueden descargarse desde: https://www.mediawiki.org/wiki/Download


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11