CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0362 – "Mark all pages visited" on the watchlist does not require a CSRF token
https://notcve.org/view.php?id=CVE-2017-0362
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw where the "Mark all pages visited" on the watchlist does not require a CSRF token. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual "Mark all pages visited" en la lista de control no requiere un token CSRF • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T150044 https://security-tracker.debian.org/tracker/CVE-2017-0362 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0368 – Make rawHTML mode not apply to system messages
https://notcve.org/view.php?id=CVE-2017-0368
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw making rawHTML mode apply to system messages. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que hace que el modo rawHTML se aplique a los mensajes del sistema. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T156184 https://security-tracker.debian.org/tracker/CVE-2017-0368 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2017-0367 – Having LocalisationCache directory default to system tmp directory is insecure
https://notcve.org/view.php?id=CVE-2017-0367
Mediawiki before 1.28.1 / 1.27.2 contains an unsafe use of temporary directory, where having LocalisationCache directory default to system tmp directory is insecure. Mediawiki, en versiones anteriores a la 1.28.1 y la 1.27.2, contiene un uso inseguro de un directorio temporal, en el que tener por defecto el directorio LocalisationCache en el directorio system tmp no es seguro. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T161453 https://security-tracker.debian.org/tracker/CVE-2017-0367 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 4.7EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0365 – XSS in SearchHighlighter::highlightText() [requires non-default config]
https://notcve.org/view.php?id=CVE-2017-0365
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a XSS vulnerability in SearchHighlighter::highlightText() with non-default configurations. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en SearchHighlighter::highlightText() con configuraciones que no son por defecto. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T144845 https://security-tracker.debian.org/tracker/CVE-2017-0365 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2017-0369 – Sysops can undelete pages, although the page is protected against it
https://notcve.org/view.php?id=CVE-2017-0369
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw, allowing a sysops to undelete pages, although the page is protected against it. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que permite que un sysops deshaga la eliminación de páginas aunque esta esté protegida contra ello. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T108138 https://security-tracker.debian.org/tracker/CVE-2017-0369 • CWE-276: Incorrect Default Permissions •