Page 38 of 354 results (0.015 seconds)

CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0

MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2, when a private wiki is configured, provides different error messages for failed login attempts depending on whether the username exists, which allows remote attackers to enumerate account names and conduct brute-force attacks via a series of requests. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2, cuando se ha configurado una wiki privada, proporciona diferentes mensajes de error para intentos de inicio de sesión fallidos dependiendo de si existe el nombre de usuario. Esto permite que atacantes remotos enumeren nombres de cuentas y lleven a cabo ataques de fuerza bruta mediante una serie de peticiones. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 5.3EPSS: 0%CPEs: 7EXPL: 0

MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows remote attackers to inject > (greater than) characters via the id attribute of a headline. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permite que atacantes remotos inyecten caracteres > (mayor que) mediante el atributo id de un encabezado. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 •

CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0

The language converter in MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows attribute injection attacks via glossary rules. El convertidor de lenguaje en MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permiten ataques de inyección de atributos mediante reglas de glosario. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 • CWE-20: Improper Input Validation •

CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0

MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 has XSS when the $wgShowExceptionDetails setting is false and the browser sends non-standard URL escaping. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 tiene XSS cuando la configuración $wgShowExceptionDetails es falso y el navegador envía un escape de URL no estándar. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0

The implementation of raw message parameter expansion in MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows HTML mangling attacks. La implementación de la expansión del parámetro raw message en MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permite ataques de decoración HTML. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 • CWE-20: Improper Input Validation •