CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8814 – Debian Security Advisory 4036-1
https://notcve.org/view.php?id=CVE-2017-8814
15 Nov 2017 — The language converter in MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows attackers to replace text inside tags via a rule definition followed by "a lot of junk." El convertidor de lenguaje en MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permite que atacantes reemplacen texto dentro de etiquetas mediante una definición de reglas seguida por mucho contenido innecesario. Multiple security... • http://www.securitytracker.com/id/1039812 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8815 – Debian Security Advisory 4036-1
https://notcve.org/view.php?id=CVE-2017-8815
15 Nov 2017 — The language converter in MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows attribute injection attacks via glossary rules. El convertidor de lenguaje en MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permiten ataques de inyección de atributos mediante reglas de glosario. Multiple security vulnerabilities have been discovered in MediaWiki, a website engine for collaborative work. • http://www.securitytracker.com/id/1039812 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 22%CPEs: 7EXPL: 1CVE-2017-8809 – Debian Security Advisory 4036-1
https://notcve.org/view.php?id=CVE-2017-8809
15 Nov 2017 — api.php in MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 has a Reflected File Download vulnerability. api.php en MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 tiene una vulnerabilidad de descarga de archivos reflejada. Multiple security vulnerabilities have been discovered in MediaWiki, a website engine for collaborative work. • https://github.com/motikan2010/CVE-2017-8809_MediaWiki_RFD • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 9.8EPSS: 0%CPEs: 8EXPL: 1CVE-2015-8009
https://notcve.org/view.php?id=CVE-2015-8009
25 Jul 2017 — The MWOAuthDataStore::lookup_token function in Extension:OAuth for MediaWiki 1.25.x before 1.25.3, 1.24.x before 1.24.4, and before 1.23.11 does not properly validate the signature when checking the authorization signature, which allows remote registered Consumers to use another Consumer's credentials by leveraging knowledge of the credentials. La función MWOAuthDataStore::lookup_token Extension:OAuth para MediaWiki versión 1.25.x anterior a 1.25.3, versión 1.24.x anterior a 1.24.4 y anterior a versión 1.23... • http://www.openwall.com/lists/oss-security/2015/10/29/14 • CWE-255: Credentials Management Errors •
CVSS: 9.8EPSS: 59%CPEs: 8EXPL: 3CVE-2017-0372 – Parameters injection in SyntaxHighlight results in multiple vulnerabilities
https://notcve.org/view.php?id=CVE-2017-0372
29 Apr 2017 — Parameters injection in the SyntaxHighlight extension of Mediawiki before 1.23.16, 1.27.3 and 1.28.2 might result in multiple vulnerabilities. Inyección de parámetros en la extensión SyntaxHighlight de Mediawiki, en versiones anteriores a la 1.23.16, 1.27.3 y 1.28.2 podría resultar en múltiples vulnerabilidades. A vulnerability was found in the SyntaxHighlight MediaWiki extension. Using this vulnerability it is possible for an anonymous attacker to pass arbitrary options to the Pygments library. By specifyi... • https://packetstorm.news/files/id/142607 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6331
https://notcve.org/view.php?id=CVE-2016-6331
20 Apr 2017 — ApiParse in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to bypass intended per-title read restrictions via a parse action to api.php. ApiParse en MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y 1.27.x en versiones anteriores a 1.27.1 permite a atacantes remotos eludir las restricciones de lectura previstas por título a través de una acción de análisis a api.php. • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 • CWE-284: Improper Access Control •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6332
https://notcve.org/view.php?id=CVE-2016-6332
20 Apr 2017 — MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1, when $wgBlockDisablesLogin is true, might allow remote attackers to obtain sensitive information by leveraging failure to terminate sessions when a user account is blocked. MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y1.27.x en versiones anteriores a 1.27.1, cuando $wgBlockDisablesLogin es verdadera, podría permitir a atacantes remotos obtener información sensible mediante el aprovechamiento de... • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6333
https://notcve.org/view.php?id=CVE-2016-6333
20 Apr 2017 — Cross-site scripting (XSS) vulnerability in the CSS user subpage preview feature in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to inject arbitrary web script or HTML via the edit box in Special:MyPage/common.css. Vulnerabilidad XSS en la función de vista previa de subpáginas de usuario CSS en MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y 1.27.x en versiones anteriores a 1.27.1 permite atacantes remotos inyectar se... • http://www.securityfocus.com/bid/98053 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6335
https://notcve.org/view.php?id=CVE-2016-6335
20 Apr 2017 — MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 does not generate head items in the context of a given title, which allows remote attackers to obtain sensitive information via a parse action to api.php. MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4, y 1.27.x en versiones anteriores a 1.27.1 no genera elementos de cabecera en el contexto de un título dado, lo que permite a atacantes remotos obtener información sensible a través de una acción de ... • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6336
https://notcve.org/view.php?id=CVE-2016-6336
20 Apr 2017 — MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote authenticated users with undelete permissions to bypass intended suppressrevision and deleterevision restrictions and remove the revision deletion status of arbitrary file revisions by using Special:Undelete. MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4, y 1.27.x en versiones anteriores a 1.27.1 permite a los usuarios autenticados remotos con permisos undelete eludir las restriccion... • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 • CWE-284: Improper Access Control •