CVE-2016-6331
https://notcve.org/view.php?id=CVE-2016-6331
ApiParse in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to bypass intended per-title read restrictions via a parse action to api.php. ApiParse en MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y 1.27.x en versiones anteriores a 1.27.1 permite a atacantes remotos eludir las restricciones de lectura previstas por título a través de una acción de análisis a api.php. • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T115333 • CWE-284: Improper Access Control •
CVE-2016-6337
https://notcve.org/view.php?id=CVE-2016-6337
MediaWiki 1.27.x before 1.27.1 might allow remote attackers to bypass intended session access restrictions by leveraging a call to the UserGetRights function after Session::getAllowedUserRights. MediaWiki 1.27.x en versiones anteriores a 1.27.1 podría permitir a los atacantes remotos eludir las restricciones destinadas al acceso de sesión aprovechando una llamada a la función UserGetRights después de Session::getAllowedUserRights. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T139670 • CWE-284: Improper Access Control •
CVE-2016-6336
https://notcve.org/view.php?id=CVE-2016-6336
MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote authenticated users with undelete permissions to bypass intended suppressrevision and deleterevision restrictions and remove the revision deletion status of arbitrary file revisions by using Special:Undelete. MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4, y 1.27.x en versiones anteriores a 1.27.1 permite a los usuarios autenticados remotos con permisos undelete eludir las restricciones destinadas a supresión y eliminación de la revisión y eliminar el estado de eliminación de revisión de las revisiones arbitrarias de archivos mediante el uso de Special:Undelete. • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T132926 • CWE-284: Improper Access Control •
CVE-2016-6333
https://notcve.org/view.php?id=CVE-2016-6333
Cross-site scripting (XSS) vulnerability in the CSS user subpage preview feature in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to inject arbitrary web script or HTML via the edit box in Special:MyPage/common.css. Vulnerabilidad XSS en la función de vista previa de subpáginas de usuario CSS en MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y 1.27.x en versiones anteriores a 1.27.1 permite atacantes remotos inyectar secuencias de comandos web o HTML arbitraria a través del cuadro de edición en Special: MyPage / common.css. • http://www.securityfocus.com/bid/98053 https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T133147 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-0047
https://notcve.org/view.php?id=CVE-2011-0047
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.16.2 allows remote attackers to inject arbitrary web script or HTML via crafted Cascading Style Sheets (CSS) comments, aka "CSS injection vulnerability." Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en MediaWiki anterior a v1.16.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML mediante una hoja de estilos (CSS) manipulada, también conocido como "vulnerabilidad de inyección de CSS." • http://lists.fedoraproject.org/pipermail/package-announce/2011-April/058910.html http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059232.html http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059235.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-February/000095.html http://osvdb.org/70770 http://secunia.com/advisories/43142 http://www.securityfocus.com/bid/46108 http://www.vupen.com/english/advisories/2011/0273 https://bugzilla.wikimedia.org • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •