MediaWiki anfällig für Cross-Site-Scripting

Wie aus dem Bericht von Bugsec hervorgeht, entsteht die Sicherheitslücke durch eine nicht ausreichend bereinigte Rückgabe des Parameters "rs" (Datei: "index.php") aus einer UTF-7-codierten Datenbank. Der Fehler tritt auf, wenn die Aktion ("action") auf "ajax" gesetzt wird. Über die Sicherheitslücke besteht die Chance, dass Angreifer eigenen Code ins System einspeisen und im Webbrowser eines Benutzers ausführen. Behoben ist die Schwachstelle in den Versionen 1.6.10, 1.7.3, 1.8.4 und 1.9.3. Ein Update wird dringend empfohlen. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.