CVE-2021-45471
https://notcve.org/view.php?id=CVE-2021-45471
In MediaWiki through 1.37, blocked IP addresses are allowed to edit EntitySchema items. En MediaWiki versiones hasta 1.37, las direcciones IP bloqueadas pueden editar elementos de EntitySchema • https://gerrit.wikimedia.org/r/q/Iac86cf63bd014ef99e83dccfce9b8942e15d2bf9 https://gerrit.wikimedia.org/r/q/Id9af124427bcd1e85301d2140a38bf47bbc5622c https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7JNQA53K675TQBBJPZRAG5ZT6XES3IS https://phabricator.wikimedia.org/T296578 •
CVE-2021-45472
https://notcve.org/view.php?id=CVE-2021-45472
In MediaWiki through 1.37, XSS can occur in Wikibase because an external identifier property can have a URL format that includes a $1 formatter substitution marker, and the javascript: URL scheme (among others) can be used. En MediaWiki versiones hasta 1.37, un ataque de tipo XSS puede ocurrir en Wikibase porque una propiedad de identificador externo puede tener un formato de URL que incluye un marcador de sustitución de formato $1, y el esquema javascript: URL (entre otros) puede ser usado • https://gerrit.wikimedia.org/r/q/I37ece1dfdc80d38055067c9c4fa73ba591acd8bd https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7JNQA53K675TQBBJPZRAG5ZT6XES3IS https://phabricator.wikimedia.org/T297570 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-45473
https://notcve.org/view.php?id=CVE-2021-45473
In MediaWiki through 1.37, Wikibase item descriptions allow XSS, which is triggered upon a visit to an action=info URL (aka a page-information sidebar). En MediaWiki versiones hasta 1.37, las descripciones de elementos de Wikibase permiten un ataque de tipo XSS, que es desencadenado al visitar una URL action=info (también se conoce como barra lateral de información de la página) • https://gerrit.wikimedia.org/r/q/I3cd080a1a7dacd7396d37ee0c98cff0b4e241f8d https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7JNQA53K675TQBBJPZRAG5ZT6XES3IS https://phabricator.wikimedia.org/T294693 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-45474
https://notcve.org/view.php?id=CVE-2021-45474
In MediaWiki through 1.37, the Special:ImportFile URI (aka FileImporter) allows XSS, as demonstrated by the clientUrl parameter. En MediaWiki versiones hasta 1.37, el URI Special:ImportFile (también conocido como FileImporter) permite el XSS, como lo demuestra el parámetro clientUrl • https://gerrit.wikimedia.org/r/q/Id1c8910aeac5b452fbabeddab70360765518223e https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7JNQA53K675TQBBJPZRAG5ZT6XES3IS https://phabricator.wikimedia.org/T296605 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-44858
https://notcve.org/view.php?id=CVE-2021-44858
An issue was discovered in MediaWiki before 1.35.5, 1.36.x before 1.36.3, and 1.37.x before 1.37.1. It is possible to use action=edit&undo= followed by action=mcrundo and action=mcrrestore to view private pages on a private wiki that has at least one page set in $wgWhitelistRead. Se ha detectado un problema en MediaWiki versiones anteriores a 1.35.5, 1.36.x versiones anteriores a 1.36.3 y 1.37.x versiones anteriores a 1.37.1. Es posible usar action=edit&undo= seguido de action=mcrundo y action=mcrrestore para visualizar páginas privadas en un wiki privado que presenta al menos una página establecida en $wgWhitelistRead • https://phabricator.wikimedia.org/T297322 https://security.gentoo.org/glsa/202305-24 https://www.mediawiki.org/wiki/2021-12_security_release/FAQ • CWE-276: Incorrect Default Permissions •