CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-28323
https://notcve.org/view.php?id=CVE-2022-28323
An issue was discovered in MediaWiki through 1.37.2. The SecurePoll extension allows a leak because sorting by timestamp is supported, Se ha detectado un problema en MediaWiki versiones hasta 1.37.2. La extensión SecurePoll permite un filtrado porque es admitida una ordenación por marca de tiempo • https://gerrit.wikimedia.org/r/q/93758c4c13b972d240a6313e0472df1667118893 https://gerrit.wikimedia.org/r/q/I9d3b9a942ea71d777ec32121fa36262f549d283d https://phabricator.wikimedia.org/T298434 •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29903
https://notcve.org/view.php?id=CVE-2022-29903
The Private Domains extension for MediaWiki through 1.37.2 (before 1ad65d4c1c199b375ea80988d99ab51ae068f766) allows CSRF for editing pages that store the extension's configuration. The attacker must trigger a POST request to Special:PrivateDomains. La extensión Private Domains para MediaWiki versiones hasta 1.37.2, (anteriores a 1ad65d4c1c199b375ea80988d99ab51ae068f766) permite una vulnerabilidad de tipo CSRF para la edición de páginas que almacenan la configuración de la extensión. El atacante debe lanzar una petición POST a Special:PrivateDomains • https://gerrit.wikimedia.org/r/c/mediawiki/extensions/PrivateDomains/+/783416 https://phabricator.wikimedia.org/T306290 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29904
https://notcve.org/view.php?id=CVE-2022-29904
The SemanticDrilldown extension for MediaWiki through 1.37.2 (before e688bdba6434591b5dff689a45e4d53459954773) allows SQL injection with certain '-' and '_' constraints. La extensión SemanticDrilldown para MediaWiki versiones hasta 1.37.2 (anteriores a e688bdba6434591b5dff689a45e4d53459954773) permite una inyección SQL con determinadas restricciones "-" y "_" • https://gerrit.wikimedia.org/r/c/mediawiki/extensions/SemanticDrilldown/+/785213 https://phabricator.wikimedia.org/T306463 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29905
https://notcve.org/view.php?id=CVE-2022-29905
The FanBoxes extension for MediaWiki through 1.37.2 (before 027ffb0b9d6fe0d823810cf03f5b562a212162d4) allows Special:UserBoxes CSRF. La extensión FanBoxes para MediaWiki versiones hasta 1.37.2 (antes de 027ffb0b9d6fe0d823810cf03f5b562a212162d4) permite un ataque de tipo CSRF de Special:UserBoxes • https://gerrit.wikimedia.org/r/c/mediawiki/extensions/FanBoxes/+/786327 https://phabricator.wikimedia.org/T306741 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29906
https://notcve.org/view.php?id=CVE-2022-29906
The admin API module in the QuizGame extension for MediaWiki through 1.37.2 (before 665e33a68f6fa1167df99c0aa18ed0157cdf9f66) omits a check for the quizadmin user. El módulo admin API en la extensión QuizGame para MediaWiki versiones hasta 1.37.2 (anteriores a 665e33a68f6fa1167df99c0aa18ed0157cdf9f66) omite una comprobación para el usuario quizadmin • https://gerrit.wikimedia.org/r/c/mediawiki/extensions/QuizGame/+/765651 https://phabricator.wikimedia.org/T302199 • CWE-862: Missing Authorization •