CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-12468 – Debian Security Advisory 4460-1
https://notcve.org/view.php?id=CVE-2019-12468
12 Jun 2019 — An Incorrect Access Control vulnerability was found in Wikimedia MediaWiki 1.27.0 through 1.32.1. Directly POSTing to Special:ChangeEmail would allow for bypassing re-authentication, allowing for potential account takeover. Se detectó una vulnerabilidad de control de acceso incorrecto en MediaWiki versiones 1.27.0 hasta 1.32.1 de Wikimedia. Un POSTING directamente en Special:ChangeEmail permitiría omitir la re-autenticación, permitiendo una potencial toma de control de una cuenta. Multiple security vulnerab... • https://lists.wikimedia.org/pipermail/mediawiki-announce • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2017-0367 – Having LocalisationCache directory default to system tmp directory is insecure
https://notcve.org/view.php?id=CVE-2017-0367
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 contains an unsafe use of temporary directory, where having LocalisationCache directory default to system tmp directory is insecure. Mediawiki, en versiones anteriores a la 1.28.1 y la 1.27.2, contiene un uso inseguro de un directorio temporal, en el que tener por defecto el directorio LocalisationCache en el directorio system tmp no es seguro. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0368 – Make rawHTML mode not apply to system messages
https://notcve.org/view.php?id=CVE-2017-0368
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw making rawHTML mode apply to system messages. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que hace que el modo rawHTML se aplique a los mensajes del sistema. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0362 – "Mark all pages visited" on the watchlist does not require a CSRF token
https://notcve.org/view.php?id=CVE-2017-0362
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw where the "Mark all pages visited" on the watchlist does not require a CSRF token. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual "Mark all pages visited" en la lista de control no requiere un token CSRF • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0363 – Special:UserLogin?returnto=interwiki:foo will redirect to external sites
https://notcve.org/view.php?id=CVE-2017-0363
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 has a flaw where Special:UserLogin?returnto=interwiki:foo will redirect to external sites. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual Special:UserLogin?returnto=interwiki:foo redirigirá a sitios externos. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 4.7EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0365 – XSS in SearchHighlighter::highlightText() [requires non-default config]
https://notcve.org/view.php?id=CVE-2017-0365
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a XSS vulnerability in SearchHighlighter::highlightText() with non-default configurations. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en SearchHighlighter::highlightText() con configuraciones que no son por defecto. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0361 – api.log contains passwords in plaintext
https://notcve.org/view.php?id=CVE-2017-0361
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains an information disclosure flaw, where the api.log might contain passwords in plaintext. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error de divulgación de información en el que api.log podría contener contraseñas en texto plano. • http://www.securitytracker.com/id/1039812 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0370 – Spam blacklist ineffective on encoded URLs inside file inclusion syntax's link parameter
https://notcve.org/view.php?id=CVE-2017-0370
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw were Spam blacklist is ineffective on encoded URLs inside file inclusion syntax's link parameter. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual la lista negra de Spam no es efectiva en URL embebidas en el parámetro link de la sintaxis de inclusión de archivos. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0364 – Special:Search allows redirects to any interwiki link
https://notcve.org/view.php?id=CVE-2017-0364
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw where Special:Search allows redirects to any interwiki link. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual Special:Search permite la redirección a cualquier enlace de interwiki. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0369 – Sysops can undelete pages, although the page is protected against it
https://notcve.org/view.php?id=CVE-2017-0369
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw, allowing a sysops to undelete pages, although the page is protected against it. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que permite que un sysops deshaga la eliminación de páginas aunque esta esté protegida contra ello. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-276: Incorrect Default Permissions •