CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0361 – api.log contains passwords in plaintext
https://notcve.org/view.php?id=CVE-2017-0361
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains an information disclosure flaw, where the api.log might contain passwords in plaintext. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error de divulgación de información en el que api.log podría contener contraseñas en texto plano. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T125177 https://security-tracker.debian.org/tracker/CVE-2017-0361 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0364 – Special:Search allows redirects to any interwiki link
https://notcve.org/view.php?id=CVE-2017-0364
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw where Special:Search allows redirects to any interwiki link. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual Special:Search permite la redirección a cualquier enlace de interwiki. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T122209 https://security-tracker.debian.org/tracker/CVE-2017-0364 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0362 – "Mark all pages visited" on the watchlist does not require a CSRF token
https://notcve.org/view.php?id=CVE-2017-0362
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw where the "Mark all pages visited" on the watchlist does not require a CSRF token. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual "Mark all pages visited" en la lista de control no requiere un token CSRF • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T150044 https://security-tracker.debian.org/tracker/CVE-2017-0362 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.7EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0365 – XSS in SearchHighlighter::highlightText() [requires non-default config]
https://notcve.org/view.php?id=CVE-2017-0365
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a XSS vulnerability in SearchHighlighter::highlightText() with non-default configurations. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en SearchHighlighter::highlightText() con configuraciones que no son por defecto. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T144845 https://security-tracker.debian.org/tracker/CVE-2017-0365 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 1CVE-2017-0366 – SVG filter evasion using default attribute values in DTD declaration
https://notcve.org/view.php?id=CVE-2017-0366
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw allowing to evade SVG filter using default attribute values in DTD declaration. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que permite la omisión del filtro SVG mediante el uso de valores de atributo por defecto en una declaración DTD. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T151735 https://security-tracker.debian.org/tracker/CVE-2017-0366 • CWE-20: Improper Input Validation •