CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6334
https://notcve.org/view.php?id=CVE-2016-6334
Cross-site scripting (XSS) vulnerability in the Parser::replaceInternalLinks2 method in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to inject arbitrary web script or HTML via vectors involving replacement of percent encoding in unclosed internal links. Vulnerabilidad de XSS en el método de Parser::replaceInternalLinks2 en MediaWiki en versiones anterior a 1.23.15, 1.26.x en versiones anterior a 1.26.4, y 1.27.x en versiones anterior a 1.27.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores incluyendo el reemplazo de porcentaje de codificación en enlaces internos no cerrados. • http://www.securityfocus.com/bid/98057 https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T137264 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 11EXPL: 0CVE-2015-8625
https://notcve.org/view.php?id=CVE-2015-8625
MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 do not properly sanitize parameters when calling the cURL library, which allows remote attackers to read arbitrary files via an @ (at sign) character in unspecified POST array parameters. MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4, y 1.26.x en versiones anteriores a 1.26.1 no desinfecta adecuadamente los parámetros al llamar a la biblioteca cURL, lo que permite a los atacantes remotos leer archivos arbitrarios a través de un carácter @ (en signo) en parámetros de array POST no especificados. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T118032 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 11EXPL: 0CVE-2015-8626
https://notcve.org/view.php?id=CVE-2015-8626
The User::randomPassword function in MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 generates passwords smaller than $wgMinimalPasswordLength, which makes it easier for remote attackers to obtain access via a brute-force attack. La función User::randomPassword en MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4 y 1.26.x en versiones anteriores a 1.26.1 genera contraseñas más pequeñas que $wgMinimalPasswordLength, lo que hace más fácil a atacantes remotos eludir restricciones destinadas al acceso a través de un ataque de fuerza bruta. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T115522 • CWE-255: Credentials Management Errors •
CVSS: 5.3EPSS: 0%CPEs: 11EXPL: 0CVE-2015-8628
https://notcve.org/view.php?id=CVE-2015-8628
The (1) Special:MyPage, (2) Special:MyTalk, (3) Special:MyContributions, (4) Special:MyUploads, and (5) Special:AllMyUploads pages in MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 allow remote attackers to obtain sensitive user login information via crafted links combined with page view statistics. Las páginas (1) Special:MyPage, (2) Special:MyTalk, (3) Special:MyContributions, (4) Special:MyUploads y (5) Special:AllMyUploads en MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24. 5, 1.25.x en versiones anteriores a 1.25.4 y 1.26.x en versiones anteriores a 1.26.1 permiten a atacantes remotos obtener información sensible de acceso de usuarios a través de vínculos manipulados combinados con estadísticas de visualización de página. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T109724 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 11EXPL: 0CVE-2015-8627
https://notcve.org/view.php?id=CVE-2015-8627
MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 do not properly normalize IP addresses containing zero-padded octets, which might allow remote attackers to bypass intended access restrictions by using an IP address that was not supposed to have been allowed. MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4 y 1.26.x en versiones anteriores a 1.26.1 no normaliza correctamente las direcciones IP que contienen octetos de relleno cero, lo que podría permitir a atacantes remotos eludir las restricciones destinadas al acceso utilizando una dirección IP que no se suponía que hubiera sido autorizada. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T97897 • CWE-284: Improper Access Control •