CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2012-2129
https://notcve.org/view.php?id=CVE-2012-2129
Cross-site scripting (XSS) vulnerability in doku.php in DokuWiki 2012-01-25 Angua allows remote attackers to inject arbitrary web script or HTML via the target parameter in an edit action. Vulnerabilidad de ejecución de ejecución de comandos en sitios cruzados (XSS) en doku.php en DokuWiki 2012-01-25 Angua permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro de destino en una acción de edición. • http://bugs.dokuwiki.org/index.php?do=details&task_id=2487 http://ircrash.com/uploads/dokuwiki.txt http://seclists.org/bugtraq/2012/Apr/121 http://secunia.com/advisories/48848 http://www.openwall.com/lists/oss-security/2012/04/22/4 http://www.openwall.com/lists/oss-security/2012/04/23/1 http://www.securityfocus.com/bid/53041 https://bugs.gentoo.org/show_bug.cgi?id=412891 https://bugzilla.redhat.com/show_bug.cgi?id=815122 https://exchange.xforce.ibmcloud.c • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2012-2128
https://notcve.org/view.php?id=CVE-2012-2128
Cross-site request forgery (CSRF) vulnerability in doku.php in DokuWiki 2012-01-25 Angua allows remote attackers to hijack the authentication of administrators for requests that add arbitrary users. NOTE: this issue has been disputed by the vendor, who states that it is resultant from CVE-2012-2129: "the exploit code simply uses the XSS hole to extract a valid CSRF token." ** EN DISPUTA ** Vulnerabilidad de fasificación de peticiones en sitios cruzados (CSRF) en doku.php en DokuWiki 2012-01-25 Angua permite a atacantes remotos secuestrar la autenticación de los administradores de las solicitudes que se suman los usuarios arbitrarios. NOTA: este problema ha sido discutido por el vendedor, quien afirma que lo es de CVE-2012-2129: ". El código de explotación simplemente usa el agujero XSS para extraer un token CSRF válido" • http://bugs.dokuwiki.org/index.php?do=details&task_id=2488 http://ircrash.com/uploads/dokuwiki.txt http://seclists.org/bugtraq/2012/Apr/121 http://secunia.com/advisories/48848 http://www.openwall.com/lists/oss-security/2012/04/22/4 http://www.openwall.com/lists/oss-security/2012/04/23/1 http://www.securityfocus.com/bid/53041 https://bugzilla.redhat.com/show_bug.cgi?id=815122 https://exchange.xforce.ibmcloud.com/vulnerabilities/74907 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 17EXPL: 0CVE-2012-0283
https://notcve.org/view.php?id=CVE-2012-0283
Cross-site scripting (XSS) vulnerability in the tpl_mediaFileList function in inc/template.php in DokuWiki before 2012-01-25b allows remote attackers to inject arbitrary web script or HTML via the ns parameter in a medialist action to lib/exe/ajax.php. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función tpl_mediaFileList en inc/template.php en DokuWiki anterior a 2012-01-25b, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro ns en una acción medialist para lib/exe/ajax.php. • http://bugs.dokuwiki.org/index.php?do=details&task_id=2561 http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090755.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090899.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090938.html http://secunia.com/secunia_research/2012-24 http://security.gentoo.org/glsa/glsa-201301-07.xml http://www.securityfocus.com/bid/54439 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2006-6965
https://notcve.org/view.php?id=CVE-2006-6965
CRLF injection vulnerability in lib/exe/fetch.php in DokuWiki 2006-03-09e, and possibly earlier, allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via CRLF sequences in the media parameter. NOTE: this issue can be leveraged for XSS attacks. Vulnerabilidad de inyección CRLF en lib/exe/fetch.php en DokuWiki 2006-03-09e, y posiblemente anteriores, permite a atacantes remotos inyectar cabeceras HTTP de su elección y llevar a cabo ataques de división de respuesta HTTP mediante secuencias CRLF en el parámetro media. NOTA: este problema puede ser aprovechado para ataques XSS. • http://osvdb.org/31620 http://secunia.com/advisories/23926 http://secunia.com/advisories/24853 http://security.gentoo.org/glsa/glsa-200704-08.xml http://sla.ckers.org/forum/read.php?3%2C880%2C1361#msg-1361 http://www.securityfocus.com/bid/22236 http://www.vupen.com/english/advisories/2007/0357 https://exchange.xforce.ibmcloud.com/vulnerabilities/31930 •
CVSS: 7.5EPSS: 1%CPEs: 3EXPL: 1CVE-2006-5099
https://notcve.org/view.php?id=CVE-2006-5099
lib/exec/fetch.php in DokuWiki before 2006-03-09e, when conf[imconvert] is configured to use ImageMagick, allows remote attackers to execute arbitrary commands via shell metacharacters in the (1) w and (2) h parameters, which are not filtered when invoking convert. lib/exec/fetch.php en DokuWiki anterior a 09/03/2006, cuando se configura conf[imconvert] para usar ImageMagick, permite a un atacante remoto ejecutar comandos de su elección a través de los metacaracteres del interprete de comandos en los parámetros (1)w y (2) h, los cuales no fueron filtrados cuando se invocó la conversión. • http://bugs.splitbrain.org/?do=details&id=926 http://secunia.com/advisories/22192 http://secunia.com/advisories/22199 http://security.gentoo.org/glsa/glsa-200609-20.xml http://www.vupen.com/english/advisories/2006/3851 •