CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-27957
https://notcve.org/view.php?id=CVE-2020-27957
The RandomGameUnit extension for MediaWiki through 1.35 was not properly escaping various title-related data. When certain varieties of games were created within MediaWiki, their names or titles could be manipulated to generate stored XSS within the RandomGameUnit extension. La extensión RandomGameUnit para MediaWiki hasta la versión 1.35 no escapaba adecuadamente a varios datos relacionados con los títulos. Cuando se crearon ciertas variedades de juegos dentro de MediaWiki, sus nombres o títulos podían ser manipulados para generar XSS almacenados dentro de la extensión RandomGameUnit • https://gerrit.wikimedia.org/r/q/I497d2076038f75c9eb77e0e250f2af56f5bd2bfc https://phabricator.wikimedia.org/T266400 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-27621
https://notcve.org/view.php?id=CVE-2020-27621
The FileImporter extension in MediaWiki through 1.35.0 was not properly attributing various user actions to a specific user's IP address. Instead, for various actions, it would report the IP address of an internal Wikimedia Foundation server by omitting X-Forwarded-For data. This resulted in an inability to properly audit and attribute various user actions performed via the FileImporter extension. La extensión FileImporter en MediaWiki versiones hasta 1.35.0 no atribuía apropiadamente varias acciones de usuario a la dirección IP de un usuario específico. En cambio, para varias acciones, informaría la dirección IP de un servidor interno de Wikimedia Foundation al omitir datos X-Fordered-For. • https://gerrit.wikimedia.org/r/q/I24a240253c7a5c66dd493a68e8c23d95a17e1b21 https://phabricator.wikimedia.org/T265810 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6163
https://notcve.org/view.php?id=CVE-2020-6163
The WikibaseMediaInfo extension 1.35 for MediaWiki allows XSS because of improper template syntax within the PropertySuggestionsWidget template (in the templates/search/PropertySuggestionsWidget.mustache+dom file). La extensión WikibaseMediaInfo versión 1.35 para MediaWiki, permite un ataque de tipo XSS debido a una sintaxis de plantilla inapropiada dentro de la plantilla PropertySuggestionsWidget (en el archivo templates/search/PropertySuggestionsWidget.mustache+dom). • https://gerrit.wikimedia.org/r/558203 https://phabricator.wikimedia.org/T240773 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19910
https://notcve.org/view.php?id=CVE-2019-19910
The MinervaNeue Skin in MediaWiki from 2019-11-05 to 2019-12-13 (1.35 and/or 1.34) mishandles certain HTML attributes, as demonstrated by IMG onmouseover= (impact is XSS) and IMG src=http (impact is disclosing the client's IP address). This can occur within a talk page topical header that is viewed within a mobile (MobileFrontend) context. El MinervaNeue Skin en MediaWiki desde el 05-11-2019 hasta el 13-12-2019 (versiones 1.35 y/o 1.34) maneja inapropiadamente ciertos atributos HTML, como es demostrado por IMG onmouseover= (el impacto es un XSS) e IMG src=http (el impacto es la revelación de la dirección IP del cliente). Esto puede presentarse dentro de un encabezado temático de la página de discusión que es visualizado dentro de un contexto móvil (MobileFrontend). • https://gerrit.wikimedia.org/r/q/Ida471291f1698387a26736931ab17e6899e05b51 https://phabricator.wikimedia.org/T240487 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 136EXPL: 0CVE-2011-0047
https://notcve.org/view.php?id=CVE-2011-0047
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.16.2 allows remote attackers to inject arbitrary web script or HTML via crafted Cascading Style Sheets (CSS) comments, aka "CSS injection vulnerability." Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en MediaWiki anterior a v1.16.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML mediante una hoja de estilos (CSS) manipulada, también conocido como "vulnerabilidad de inyección de CSS." • http://lists.fedoraproject.org/pipermail/package-announce/2011-April/058910.html http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059232.html http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059235.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-February/000095.html http://osvdb.org/70770 http://secunia.com/advisories/43142 http://www.securityfocus.com/bid/46108 http://www.vupen.com/english/advisories/2011/0273 https://bugzilla.wikimedia.org&# • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •