CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0364 – Special:Search allows redirects to any interwiki link
https://notcve.org/view.php?id=CVE-2017-0364
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw where Special:Search allows redirects to any interwiki link. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual Special:Search permite la redirección a cualquier enlace de interwiki. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 4.7EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0365 – XSS in SearchHighlighter::highlightText() [requires non-default config]
https://notcve.org/view.php?id=CVE-2017-0365
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a XSS vulnerability in SearchHighlighter::highlightText() with non-default configurations. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en SearchHighlighter::highlightText() con configuraciones que no son por defecto. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 1CVE-2017-0366 – SVG filter evasion using default attribute values in DTD declaration
https://notcve.org/view.php?id=CVE-2017-0366
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw allowing to evade SVG filter using default attribute values in DTD declaration. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que permite la omisión del filtro SVG mediante el uso de valores de atributo por defecto en una declaración DTD. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2017-0367 – Having LocalisationCache directory default to system tmp directory is insecure
https://notcve.org/view.php?id=CVE-2017-0367
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 contains an unsafe use of temporary directory, where having LocalisationCache directory default to system tmp directory is insecure. Mediawiki, en versiones anteriores a la 1.28.1 y la 1.27.2, contiene un uso inseguro de un directorio temporal, en el que tener por defecto el directorio LocalisationCache en el directorio system tmp no es seguro. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0368 – Make rawHTML mode not apply to system messages
https://notcve.org/view.php?id=CVE-2017-0368
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw making rawHTML mode apply to system messages. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que hace que el modo rawHTML se aplique a los mensajes del sistema. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0369 – Sysops can undelete pages, although the page is protected against it
https://notcve.org/view.php?id=CVE-2017-0369
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw, allowing a sysops to undelete pages, although the page is protected against it. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que permite que un sysops deshaga la eliminación de páginas aunque esta esté protegida contra ello. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-276: Incorrect Default Permissions •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0370 – Spam blacklist ineffective on encoded URLs inside file inclusion syntax's link parameter
https://notcve.org/view.php?id=CVE-2017-0370
13 Apr 2018 — Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw were Spam blacklist is ineffective on encoded URLs inside file inclusion syntax's link parameter. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual la lista negra de Spam no es efectiva en URL embebidas en el parámetro link de la sintaxis de inclusión de archivos. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8808 – Debian Security Advisory 4036-1
https://notcve.org/view.php?id=CVE-2017-8808
15 Nov 2017 — MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 has XSS when the $wgShowExceptionDetails setting is false and the browser sends non-standard URL escaping. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 tiene XSS cuando la configuración $wgShowExceptionDetails es falso y el navegador envía un escape de URL no estándar. Multiple security vulnerabilities have been discovered in MediaWiki, a website... • http://www.securitytracker.com/id/1039812 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 1%CPEs: 7EXPL: 0CVE-2017-8810 – Debian Security Advisory 4036-1
https://notcve.org/view.php?id=CVE-2017-8810
15 Nov 2017 — MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2, when a private wiki is configured, provides different error messages for failed login attempts depending on whether the username exists, which allows remote attackers to enumerate account names and conduct brute-force attacks via a series of requests. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2, cuando se ha configurado una wiki privada, propor... • http://www.securitytracker.com/id/1039812 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8811 – Debian Security Advisory 4036-1
https://notcve.org/view.php?id=CVE-2017-8811
15 Nov 2017 — The implementation of raw message parameter expansion in MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows HTML mangling attacks. La implementación de la expansión del parámetro raw message en MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permite ataques de decoración HTML. Multiple security vulnerabilities have been discovered in MediaWiki, a website engine for collaborative work. • http://www.securitytracker.com/id/1039812 • CWE-20: Improper Input Validation •