CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8810
https://notcve.org/view.php?id=CVE-2017-8810
MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2, when a private wiki is configured, provides different error messages for failed login attempts depending on whether the username exists, which allows remote attackers to enumerate account names and conduct brute-force attacks via a series of requests. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2, cuando se ha configurado una wiki privada, proporciona diferentes mensajes de error para intentos de inicio de sesión fallidos dependiendo de si existe el nombre de usuario. Esto permite que atacantes remotos enumeren nombres de cuentas y lleven a cabo ataques de fuerza bruta mediante una serie de peticiones. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8808
https://notcve.org/view.php?id=CVE-2017-8808
MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 has XSS when the $wgShowExceptionDetails setting is false and the browser sends non-standard URL escaping. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 tiene XSS cuando la configuración $wgShowExceptionDetails es falso y el navegador envía un escape de URL no estándar. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8812
https://notcve.org/view.php?id=CVE-2017-8812
MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows remote attackers to inject > (greater than) characters via the id attribute of a headline. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permite que atacantes remotos inyecten caracteres > (mayor que) mediante el atributo id de un encabezado. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4378
https://notcve.org/view.php?id=CVE-2012-4378
Multiple cross-site scripting (XSS) vulnerabilities in MediaWiki before 1.18.5 and 1.19.x before 1.19.2, when unspecified JavaScript gadgets are used, allow remote attackers to inject arbitrary web script or HTML via the userlang parameter to w/index.php. Múltiples vulnerabilidades Cross-Site Scripting (XSS) en MediaWiki en versiones anteriores a la 1.18.5 y en versiones 1.19.x anteriores a la 1.19.2, cuando se usan gadgets de JavaScript sin especificar, permiten que atacantes remotos inyecten scripts web o HTML arbitrarios mediante el parámetro userlang en w/index.php. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://bugzilla.redhat.com/show_bug.cgi?id=853417 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T39587 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4377
https://notcve.org/view.php?id=CVE-2012-4377
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.18.5 and 1.19.x before 1.19.2 allows remote attackers to inject arbitrary web script or HTML via a File: link to a nonexistent image. Vulnerabilidad Cross-Site Scripting (XSS) en MediaWiki en versiones anteriores a la 1.18.5 y en versiones 1.19.x anteriores a la 1.19.2 permite que atacantes remotos inyecten scripts web o HTML arbitrarios mediante un enlace File: a una imagen inexistente. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://bugzilla.redhat.com/show_bug.cgi?id=853409 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T41700 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •