CVE-2022-34750
https://notcve.org/view.php?id=CVE-2022-34750
An issue was discovered in MediaWiki through 1.38.1. The lemma length of a Wikibase lexeme is currently capped at a thousand characters. Unfortunately, this length is not validated, allowing much larger lexemes to be created, which introduces various denial-of-service attack vectors within the Wikibase and WikibaseLexeme extensions. This is related to Special:NewLexeme and Special:NewProperty. Se ha detectado un problema en MediaWiki versiones hasta 1.38.1. • https://gerrit.wikimedia.org/r/q/I8171bfef73e525d73efa60b407ce147130ea4742 https://gerrit.wikimedia.org/r/q/Id89a9b08e40f075d2d422cafd03668dff3ce7fc9 https://phabricator.wikimedia.org/T308659 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVE-2022-28323
https://notcve.org/view.php?id=CVE-2022-28323
An issue was discovered in MediaWiki through 1.37.2. The SecurePoll extension allows a leak because sorting by timestamp is supported, Se ha detectado un problema en MediaWiki versiones hasta 1.37.2. La extensión SecurePoll permite un filtrado porque es admitida una ordenación por marca de tiempo • https://gerrit.wikimedia.org/r/q/93758c4c13b972d240a6313e0472df1667118893 https://gerrit.wikimedia.org/r/q/I9d3b9a942ea71d777ec32121fa36262f549d283d https://phabricator.wikimedia.org/T298434 •
CVE-2022-29903
https://notcve.org/view.php?id=CVE-2022-29903
The Private Domains extension for MediaWiki through 1.37.2 (before 1ad65d4c1c199b375ea80988d99ab51ae068f766) allows CSRF for editing pages that store the extension's configuration. The attacker must trigger a POST request to Special:PrivateDomains. La extensión Private Domains para MediaWiki versiones hasta 1.37.2, (anteriores a 1ad65d4c1c199b375ea80988d99ab51ae068f766) permite una vulnerabilidad de tipo CSRF para la edición de páginas que almacenan la configuración de la extensión. El atacante debe lanzar una petición POST a Special:PrivateDomains • https://gerrit.wikimedia.org/r/c/mediawiki/extensions/PrivateDomains/+/783416 https://phabricator.wikimedia.org/T306290 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2022-29904
https://notcve.org/view.php?id=CVE-2022-29904
The SemanticDrilldown extension for MediaWiki through 1.37.2 (before e688bdba6434591b5dff689a45e4d53459954773) allows SQL injection with certain '-' and '_' constraints. La extensión SemanticDrilldown para MediaWiki versiones hasta 1.37.2 (anteriores a e688bdba6434591b5dff689a45e4d53459954773) permite una inyección SQL con determinadas restricciones "-" y "_" • https://gerrit.wikimedia.org/r/c/mediawiki/extensions/SemanticDrilldown/+/785213 https://phabricator.wikimedia.org/T306463 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2022-29905
https://notcve.org/view.php?id=CVE-2022-29905
The FanBoxes extension for MediaWiki through 1.37.2 (before 027ffb0b9d6fe0d823810cf03f5b562a212162d4) allows Special:UserBoxes CSRF. La extensión FanBoxes para MediaWiki versiones hasta 1.37.2 (antes de 027ffb0b9d6fe0d823810cf03f5b562a212162d4) permite un ataque de tipo CSRF de Special:UserBoxes • https://gerrit.wikimedia.org/r/c/mediawiki/extensions/FanBoxes/+/786327 https://phabricator.wikimedia.org/T306741 • CWE-352: Cross-Site Request Forgery (CSRF) •