Page 31 of 253 results (0.010 seconds)

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1

In MediaWiki before 1.34.1, users can add various Cascading Style Sheets (CSS) classes (which can affect what content is shown or hidden in the user interface) to arbitrary DOM nodes via HTML content within a MediaWiki page. This occurs because jquery.makeCollapsible allows applying an event handler to any Cascading Style Sheets (CSS) selector. There is no known way to exploit this for cross-site scripting (XSS). En MediaWiki versiones anteriores a 1.34.1, los usuarios pueden agregar varias clases de Cascading Style Sheets (CSS) (que pueden afectar que contenido es mostrado u ocultado en la interfaz de usuario) en unos nodos DOM arbitrarios por medio del contenido HTML dentro de una página de MediaWiki. Esto se presenta porque jquery.makeCollapsible permite aplicar un manejador de eventos a cualquier selector de Cascading Style Sheets (CSS). • https://lists.wikimedia.org/pipermail/wikitech-l/2020-March/093243.html https://phabricator.wikimedia.org/T246602 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

In the GlobalBlocking extension before 2020-03-10 for MediaWiki through 1.34.0, an issue related to IP range evaluation resulted in blocked users re-gaining escalated privileges. This is related to the case in which an IP address is contained in two ranges, one of which is locally disabled. En la extensión GlobalBlocking antes del 10-03-2020, para MediaWiki versiones hasta la versión 1.34.0, un problema relacionado con la evaluación del rango IP resultó en que los usuarios bloqueados volvieran a obtener privilegios escalados. Esto está relacionado al caso en el cual una dirección IP está contenida en dos rangos, uno de los cuales está deshabilitado localmente. • https://gerrit.wikimedia.org/r/#/q/I9cc5fb2c08c78bbd797a5fc6d89f4577c8cc118b https://phabricator.wikimedia.org/T229731 • CWE-863: Incorrect Authorization •

CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0

The CentralAuth extension for MediaWiki before 1.19.10, 1.2x before 1.21.4, and 1.22.x before 1.22.1 allows remote attackers to obtain usernames via vectors related to writing the names to the DOM of a page. La extensión CentralAuth para MediaWiki versiones anteriores a 1.19.10, versiones 1.2x anteriores a 1.21.4 y versiones 1.22.x anteriores a 1.22.1, permite a atacantes remotos obtener nombres de usuario por medio de vectores relacionados con la escritura de los nombres en el DOM de una página. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-January/000138.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 2

MediaWiki through 1.33.1 allows attackers to bypass the Title_blacklist protection mechanism by starting with an arbitrary title, establishing a non-resolvable redirect for the associated page, and using redirect=1 in the action API when editing that page. MediaWiki versiones hasta 1.33.1, permite a atacantes omitir el mecanismo de protección Title_blacklist al iniciar con un título arbitrario, estableciendo un redireccionamiento no resoluble para la página asociada y usando redirect=1 en la API action cuando se edita esa página. • https://gerrit.wikimedia.org/r/q/Ie54f366986056c876eade0fcad6c41f70b8b8de8 https://phabricator.wikimedia.org/T239466 https://seclists.org/bugtraq/2019/Dec/48 https://www.debian.org/security/2019/dsa-4592 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 5.3EPSS: 0%CPEs: 5EXPL: 1

In MediaWiki through 1.33.0, Special:Redirect allows information disclosure of suppressed usernames via a User ID Lookup. En MediaWiki versiones hasta 1.33.0, Special:Redirect permite la divulgación de información de nombres de usuario suprimidos por medio de una Búsqueda de ID de Usuario. • https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7OMG3BMUHGWTAPYTK2NXM6CXF6FYLOUO https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QBAOLXETM5BOYQG6OQVHGB2LNLZUXVN6 https://phabricator.wikimedia.org/T230402 https://seclists.org/bugtraq/2019/Oct/32 https://www.debian.org/security/2019/dsa-4545 • CWE-862: Missing Authorization •