CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 1CVE-2021-45473
https://notcve.org/view.php?id=CVE-2021-45473
In MediaWiki through 1.37, Wikibase item descriptions allow XSS, which is triggered upon a visit to an action=info URL (aka a page-information sidebar). En MediaWiki versiones hasta 1.37, las descripciones de elementos de Wikibase permiten un ataque de tipo XSS, que es desencadenado al visitar una URL action=info (también se conoce como barra lateral de información de la página) • https://gerrit.wikimedia.org/r/q/I3cd080a1a7dacd7396d37ee0c98cff0b4e241f8d https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7JNQA53K675TQBBJPZRAG5ZT6XES3IS https://phabricator.wikimedia.org/T294693 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2021-45474
https://notcve.org/view.php?id=CVE-2021-45474
In MediaWiki through 1.37, the Special:ImportFile URI (aka FileImporter) allows XSS, as demonstrated by the clientUrl parameter. En MediaWiki versiones hasta 1.37, el URI Special:ImportFile (también conocido como FileImporter) permite el XSS, como lo demuestra el parámetro clientUrl • https://gerrit.wikimedia.org/r/q/Id1c8910aeac5b452fbabeddab70360765518223e https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7JNQA53K675TQBBJPZRAG5ZT6XES3IS https://phabricator.wikimedia.org/T296605 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2021-44858
https://notcve.org/view.php?id=CVE-2021-44858
An issue was discovered in MediaWiki before 1.35.5, 1.36.x before 1.36.3, and 1.37.x before 1.37.1. It is possible to use action=edit&undo= followed by action=mcrundo and action=mcrrestore to view private pages on a private wiki that has at least one page set in $wgWhitelistRead. Se ha detectado un problema en MediaWiki versiones anteriores a 1.35.5, 1.36.x versiones anteriores a 1.36.3 y 1.37.x versiones anteriores a 1.37.1. Es posible usar action=edit&undo= seguido de action=mcrundo y action=mcrrestore para visualizar páginas privadas en un wiki privado que presenta al menos una página establecida en $wgWhitelistRead • https://phabricator.wikimedia.org/T297322 https://security.gentoo.org/glsa/202305-24 https://www.mediawiki.org/wiki/2021-12_security_release/FAQ • CWE-276: Incorrect Default Permissions •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2021-44857
https://notcve.org/view.php?id=CVE-2021-44857
An issue was discovered in MediaWiki before 1.35.5, 1.36.x before 1.36.3, and 1.37.x before 1.37.1. It is possible to use action=mcrundo followed by action=mcrrestore to replace the content of any arbitrary page (that the user doesn't have edit rights for). This applies to any public wiki, or a private wiki that has at least one page set in $wgWhitelistRead. Se ha detectado un problema en MediaWiki versiones anteriores a 1.35.5, versiones 1.36.x anteriores a 1.36.3 y versiones 1.37.x anteriores a 1.37.1. Es posible usar action=mcrundo seguido de action=mcrrestore para reemplazar el contenido de cualquier página arbitraria (para la que el usuario no tenga derechos de edición). • https://phabricator.wikimedia.org/T297322 https://security.gentoo.org/glsa/202305-24 https://www.mediawiki.org/wiki/2021-12_security_release/FAQ • CWE-862: Missing Authorization •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-45038
https://notcve.org/view.php?id=CVE-2021-45038
An issue was discovered in MediaWiki before 1.35.5, 1.36.x before 1.36.3, and 1.37.x before 1.37.1. By using an action=rollback query, attackers can view private wiki contents. Se ha detectado un problema en MediaWiki versiones anteriores a versión 1.35.5, versiones 1.36.x anteriores a 1.36.3 y versiones 1.37.x anteriores a 1.37.1. Usando una consulta action=rollback, los atacantes pueden visualizar contenidos privados del wiki • https://phabricator.wikimedia.org/T297574 https://security.gentoo.org/glsa/202305-24 https://www.mediawiki.org/wiki/2021-12_security_release/FAQ • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •