Múltiples vulnerabilidades en MediaWiki

Se han publicado múltiples vulnerabilidades en MediaWiki para las
versiones anteriores a 1.17.3 y 1.18.2 que podrían ser aprovechadas
por un atacante remoto para causar distintos impactos.

MediaWiki es software libre para la creación de wikis. Originalmente
este proyecto fue creado para Wikipedia. Los errores son los detallados
a continuación.

* Un error en el módulo de boqueo y desbloqueo podría permitir a un
atacante remoto sin privilegios bloquear y desbloquear a otros usuarios
a través de un ataque Cross-site request forgery (CSRF).

* Un error en el gestor de recursos podría permitir cargar el módulo
“user.tokens” y revelar información sensible. Esto podría ser
aprovechado por un atacante remoto para robar el token de usuario
comprometiendo.

* Un error en “Special:Upload” podría permitir subir archivos sin la
interacción del usuario, afectando la integridad del sitio vulnerado
a través de un ataque Cross-site request forgery (CSRF).

* Un error a forma de generar de números aleatorios podría permitir a un
atacante remoto resetear el correo de la víctima a través de un ataque
de generación de números pseudo-aleatorios (PRNG).

* Un error en el analizador de texto en la extensión CharInsert podría
causar una denegación de servicio de bucle infinito, y potencialmente,
la ejecución de scripts aleatorios a través de un ataque cross.-site
scripting.

Los errores están subsanados y las versiones corregidas se pueden
descargar desde su página oficial http://dumps.wikimedia.org/mediawiki/

 Fuente