1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-01 / mediawiki |
| Date de Parution | 04 Avril 2006 |
| Impact | Basse |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| www-apps/mediawiki | < 1.4.15 | >= 1.4.15 | Toutes |
3. Synopsis
MediaWiki est vulnérable à une faille de type cross-site scripting permettant l'injection et l'exécution par les visiteurs d'une portion de code javascript arbitraire.
4. Informations
MediaWiki est un logiciel d'édition en ligne communautaire utilisé dans de grands projets tels que Wikipedia.
5. Description
MediaWiki ne décode pas correctement certaines URLs encodées, rendant ainsi possible l'injection de scripts dans les pages incriminées.
6. Impact de la faille
En fournissant à MediaWiki des liens spécifiquement forgés, un attaquant distant peut exploiter cette vulnérabilité pour injecter des portions de HTML ou du code javascript malicieux qui sera ensuite exécuté par les visiteurs du site. Une portion de javascript peut ainsi être utilisée pour récupérer des cookies sensibles (cookies de session).
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs de MediaWiki doivent mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=www-apps/mediawiki-1.4.15"
9. Références