MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.

Un problema corregido reside en cross-site scriptings por la codificación del carácter "%" dentro de enlaces internos y en la previsualización de CSS. Otro problema por un error en la API relacionado con la generación de elementos de las cabeceras. Usuarios con permisos de recuperación pueden borrar el estado de una revisión de archivo (incluso si el archivo está eliminado), cuando realmente no tienen permisos para ello. Las cuentas eliminadas no cerraban adecuadamente la sesión, de forma que un usuario autenticado podía seguir accediendo aun  con una cuenta ya cerrada o inexistente. Por último la API podía emplearse para eludir  completamente la extensión Lockdown.

Las nuevas versiones 1.27.1, 1.26.4 y 1.23.15 solucionan estas vulnerabilidades. Pueden descargarse desde:

MediaWiki Release notes 1.27

Antonio Ropero

Twitter: @aropero