Múltiples vulnerabilidades en MediaWiki
Se han publicado múltiples vulnerabilidades en MediaWiki para las
versiones anteriores a 1.17.3 y 1.18.2 que podrían ser aprovechadas
por un atacante remoto para causar distintos impactos.
MediaWiki es software libre para la creación de wikis. Originalmente
este proyecto fue creado para Wikipedia. Los errores son los detallados
a continuación.
* Un error en el módulo de boqueo y desbloqueo podría permitir a un
atacante remoto sin privilegios bloquear y desbloquear a otros usuarios
a través de un ataque Cross-site request forgery (CSRF).
* Un error en el gestor de recursos podría permitir cargar el módulo
“user.tokens” y revelar información sensible. Esto podría ser
aprovechado por un atacante remoto para robar el token de usuario
comprometiendo.
* Un error en “Special:Upload” podría permitir subir archivos sin la
interacción del usuario, afectando la integridad del sitio vulnerado
a través de un ataque Cross-site request forgery (CSRF).
* Un error a forma de generar de números aleatorios podría permitir a un
atacante remoto resetear el correo de la víctima a través de un ataque
de generación de números pseudo-aleatorios (PRNG).
* Un error en el analizador de texto en la extensión CharInsert podría
causar una denegación de servicio de bucle infinito, y potencialmente,
la ejecución de scripts aleatorios a través de un ataque cross.-site
scripting.
Los errores están subsanados y las versiones corregidas se pueden
descargar desde su página oficial http://dumps.wikimedia.org/mediawiki/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.