CVE-2012-4377
https://notcve.org/view.php?id=CVE-2012-4377
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.18.5 and 1.19.x before 1.19.2 allows remote attackers to inject arbitrary web script or HTML via a File: link to a nonexistent image. Vulnerabilidad Cross-Site Scripting (XSS) en MediaWiki en versiones anteriores a la 1.18.5 y en versiones 1.19.x anteriores a la 1.19.2 permite que atacantes remotos inyecten scripts web o HTML arbitrarios mediante un enlace File: a una imagen inexistente. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://bugzilla.redhat.com/show_bug.cgi?id=853409 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T41700 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-4379
https://notcve.org/view.php?id=CVE-2012-4379
MediaWiki before 1.18.5, and 1.19.x before 1.19.2 does not send a restrictive X-Frame-Options HTTP header, which allows remote attackers to conduct clickjacking attacks via an embedded API response in an IFRAME element. MediaWiki, en versiones anteriores a la 1.18.5 y versiones 1.19.x anteriores a la 1.19.2, no envía una cabecera HTTP X-Frame-Options restrictiva, lo que permite que atacantes remotos lleven a cabo ataques de secuestro de clic mediante una respuesta API embebida en un elemento IFRAME. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://bugzilla.redhat.com/show_bug.cgi?id=853426 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T41180 • CWE-284: Improper Access Control •
CVE-2012-4382
https://notcve.org/view.php?id=CVE-2012-4382
MediaWiki before 1.18.5, and 1.19.x before 1.19.2 does not properly protect user block metadata, which allows remote administrators to read a user block reason via a reblock attempt. MediaWiki, en versiones anteriores a la 1.18.5 y versiones 1.19.x anteriores a la 1.19.2, no protege correctamente los metadatos del bloqueo de usuario, lo que permite que administradores remotos lean una razón de bloqueo de usuario mediante un intento de rebloqueo. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T41823 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2012-4380
https://notcve.org/view.php?id=CVE-2012-4380
MediaWiki before 1.18.5, and 1.19.x before 1.19.2 allows remote attackers to bypass GlobalBlocking extension IP address blocking and create an account via unspecified vectors. MediaWiki, en versiones anteriores a la 1.18.5 y versiones 1.19.x anteriores a la 1.19.2, permite que atacantes remotos omitan el bloqueo de direcciones IP de la extensión GlobalBlocking y creen una cuenta mediante vectores sin especificar. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://bugzilla.redhat.com/show_bug.cgi?id=853440 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T41824 • CWE-284: Improper Access Control •
CVE-2015-8009
https://notcve.org/view.php?id=CVE-2015-8009
The MWOAuthDataStore::lookup_token function in Extension:OAuth for MediaWiki 1.25.x before 1.25.3, 1.24.x before 1.24.4, and before 1.23.11 does not properly validate the signature when checking the authorization signature, which allows remote registered Consumers to use another Consumer's credentials by leveraging knowledge of the credentials. La función MWOAuthDataStore::lookup_token Extension:OAuth para MediaWiki versión 1.25.x anterior a 1.25.3, versión 1.24.x anterior a 1.24.4 y anterior a versión 1.23.11, no comprueba apropiadamente la firma cuando verifica la firma de autorización, lo que permite a los consumidores registrados remotos utilizar las credenciales de otro consumidor mediante el aprovechamiento el conocimiento de las credenciales. • http://www.openwall.com/lists/oss-security/2015/10/29/14 http://www.securitytracker.com/id/1034028 https://phabricator.wikimedia.org/T103023 • CWE-255: Credentials Management Errors •