CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2019-12474
https://notcve.org/view.php?id=CVE-2019-12474
Wikimedia MediaWiki 1.23.0 through 1.32.1 has an information leak. Privileged API responses that include whether a recent change has been patrolled may be cached publicly. Fixed in 1.32.2, 1.31.2, 1.30.2 and 1.27.6. MediaWiki versiones 1.23.0 hasta 1.32.1 de Wikimedia, presenta una filtración de información. Las respuestas de la API privilegiadas que incluyen si un cambio reciente que ha sido vigilado pueden ser almacenadas públicamente. • https://lists.wikimedia.org/pipermail/wikitech-l/2019-June/092152.html https://phabricator.wikimedia.org/T212118 https://seclists.org/bugtraq/2019/Jun/12 https://www.debian.org/security/2019/dsa-4460 •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2019-12473
https://notcve.org/view.php?id=CVE-2019-12473
Wikimedia MediaWiki 1.27.0 through 1.32.1 might allow DoS. Passing invalid titles to the API could cause a DoS by querying the entire watchlist table. Fixed in 1.32.2, 1.31.2, 1.30.2 and 1.27.6. MediaWiki versiones 1.27.0 hasta 1.32.1 de Wikimedia, puede permitir una DoS. Pasando títulos no válidos hacia la API podría causar un DoS mediante la consulta de la tabla completa de la lista de observación. • https://lists.wikimedia.org/pipermail/wikitech-l/2019-June/092152.html https://phabricator.wikimedia.org/T204729 https://seclists.org/bugtraq/2019/Jun/12 https://www.debian.org/security/2019/dsa-4460 •
CVSS: 5.3EPSS: 0%CPEs: 5EXPL: 0CVE-2019-12467
https://notcve.org/view.php?id=CVE-2019-12467
MediaWiki through 1.32.1 has Incorrect Access Control (issue 1 of 3). A spammer can use Special:ChangeEmail to send out spam with no rate limiting or ability to block them. Fixed in 1.32.2, 1.31.2, 1.30.2 and 1.27.6. MediaWiki hasta la versión 1.32.1, presenta Control de Acceso Incorrecto (problema 1 de 3). Un spammer puede usar Special:ChangeEmail para enviar spam sin límite de velocidad o capacidad para bloquearlos. • https://lists.wikimedia.org/pipermail/wikitech-l/2019-June/092152.html https://phabricator.wikimedia.org/T209794 https://seclists.org/bugtraq/2019/Jun/12 https://www.debian.org/security/2019/dsa-4460 •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2019-12471
https://notcve.org/view.php?id=CVE-2019-12471
Wikimedia MediaWiki 1.30.0 through 1.32.1 has XSS. Loading user JavaScript from a non-existent account allows anyone to create the account, and perform XSS on users loading that script. Fixed in 1.32.2, 1.31.2, 1.30.2 and 1.27.6. MediaWiki versiones 1.30.0 hasta 1.32.1 de Wikimedia, presenta un problema de tipo XSS. Cargando un JavaScript de usuario desde una cuenta no existente permite a cualquiera crear la cuenta y ejecutar ataques XSS en los usuarios que cargan ese script. • https://lists.wikimedia.org/pipermail/wikitech-l/2019-June/092152.html https://phabricator.wikimedia.org/T207603 https://seclists.org/bugtraq/2019/Jun/12 https://www.debian.org/security/2019/dsa-4460 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-13258 – Tarball was missing .htaccess files
https://notcve.org/view.php?id=CVE-2018-13258
Mediawiki 1.31 before 1.31.1 misses .htaccess files in the provided tarball used to protect some directories that shouldn't be web accessible. Mediawiki en versiones 1.31 anteriores a la 1.31.1 omite los archivos.htaccess en el tarball proporcionado usado para proteger algunos directorios que no deberían ser accesibles desde la web. • http://www.securitytracker.com/id/1041695 https://lists.wikimedia.org/pipermail/wikitech-l/2018-September/090849.html https://phabricator.wikimedia.org/T199029 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •