CVE-2017-0368 – Make rawHTML mode not apply to system messages
https://notcve.org/view.php?id=CVE-2017-0368
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw making rawHTML mode apply to system messages. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que hace que el modo rawHTML se aplique a los mensajes del sistema. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T156184 https://security-tracker.debian.org/tracker/CVE-2017-0368 • CWE-20: Improper Input Validation •
CVE-2017-0367 – Having LocalisationCache directory default to system tmp directory is insecure
https://notcve.org/view.php?id=CVE-2017-0367
Mediawiki before 1.28.1 / 1.27.2 contains an unsafe use of temporary directory, where having LocalisationCache directory default to system tmp directory is insecure. Mediawiki, en versiones anteriores a la 1.28.1 y la 1.27.2, contiene un uso inseguro de un directorio temporal, en el que tener por defecto el directorio LocalisationCache en el directorio system tmp no es seguro. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T161453 https://security-tracker.debian.org/tracker/CVE-2017-0367 • CWE-668: Exposure of Resource to Wrong Sphere •
CVE-2017-0365 – XSS in SearchHighlighter::highlightText() [requires non-default config]
https://notcve.org/view.php?id=CVE-2017-0365
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a XSS vulnerability in SearchHighlighter::highlightText() with non-default configurations. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en SearchHighlighter::highlightText() con configuraciones que no son por defecto. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T144845 https://security-tracker.debian.org/tracker/CVE-2017-0365 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-0369 – Sysops can undelete pages, although the page is protected against it
https://notcve.org/view.php?id=CVE-2017-0369
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw, allowing a sysops to undelete pages, although the page is protected against it. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error que permite que un sysops deshaga la eliminación de páginas aunque esta esté protegida contra ello. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T108138 https://security-tracker.debian.org/tracker/CVE-2017-0369 • CWE-276: Incorrect Default Permissions •
CVE-2017-0364 – Special:Search allows redirects to any interwiki link
https://notcve.org/view.php?id=CVE-2017-0364
Mediawiki before 1.28.1 / 1.27.2 / 1.23.16 contains a flaw where Special:Search allows redirects to any interwiki link. Mediawiki, en versiones anteriores a la 1.28.1, 1.27.2 y la 1.23.16, contiene un error por el cual Special:Search permite la redirección a cualquier enlace de interwiki. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://phabricator.wikimedia.org/T122209 https://security-tracker.debian.org/tracker/CVE-2017-0364 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •