Cross Site Scripting en MediaWiki

Se ha diagnosticado un fallo de seguridad que podría permitir a un atacante la ejecución de ataques XSS (Cross-Site Scripting) en MediaWiki.

MediaWiki es un proyecto de código abierto que proporciona un motor libre de carácter colaborativo editable por los usuarios, lo que se conoce habitualmente como un wiki. El principal baluarte y ejemplo más representativo de esta plataforma es la enciclopedia libre, la Wikipedia, si bien muchos usuarios emplean MediaWiki para conformar sus propios motores colaborativos, con lo que este problema de seguridad afecta a toda la comunidad de usuarios de la solución.

Según los parches liberados, los insumos de los enlaces codificados no se comprueban y sanean adecuadamente antes de ser mostrados al usuario, lo que podría facilitar que un atacante malicioso ejecutase código HTML y/o de script de carácter arbitrario en el contexto de la sesión de navegación de un usuario que circule por un servidor con una versión MediaWiki vulnerable. Esto permitiría a un atacante mostrar contenidos ilegítimos en páginas legítimas, y por tanto, engañar al visitante.

El problema, de carácter moderadamente crítico, requiere la actualización a las versiones liberadas para tal efecto, que no sólo corrigen el fallo descrito, sino que además incorporan “fixes” de mantenimiento menores. El problema afecta a las dos ramas de MediaWiki en funcionamiento, la 1.4.x y la 1.5.x, con lo que la recomendación natural que trasladamos a los administradores de esta solución es la actualización con carácter inmediato. Habida cuenta de que este producto es frecuente encontrarlo en proveedores de hospedaje con soluciones de instalación rápida mediante paquetes prealmacenados del tipo “Installatron”, los administradores de hospedaje con servicios de valor añadido de este tipo deberían actualizar igualmente.

Se recuerda a los usuarios que desde la versión 1.2.0, MediaWiki no necesita la directiva de PHP register_globals operativa, con lo que lo más prudente es desactivarla. Cuando los proveedores de hospedaje la tengan activada por causas justificadas, o bien no atiendan a nuestras peticiones de desactivación, es posible neutralizar la directiva incluyendo la línea “php_flag register_globals off” en el fichero .htaccess del directorio considerado.

En caso de requerir asistencia, los administradores MediaWiki pueden acudir al soporte comunitario a través de IRC, en el canal #mediawiki de irc.freenode.net