CVSS: 3.5EPSS: 0%CPEs: 8EXPL: 0CVE-2015-8001
https://notcve.org/view.php?id=CVE-2015-8001
The chunked upload API (ApiUpload) in MediaWiki before 1.23.11, 1.24.x before 1.24.4, and 1.25.x before 1.25.3 does not restrict the uploaded data to the claimed file size, which allows remote authenticated users to cause a denial of service via a chunk that exceeds the file size. La API chunked upload (ApiUpload) en MediaWiki en versiones anteriores a 1.23.11, 1.24.x en versiones anteriores a 1.24.4 y 1.25.x en versiones anteriores a 1.25.3 no restringe los datos subidos al tamaño de archivo declarado, lo que permite a usuarios remotos autenticados causar una denegación de servicio a través de un fragmento que excede del tamaño de archivo. • http://www.securitytracker.com/id/1034028 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-October/000181.html https://phabricator.wikimedia.org/T91203 • CWE-284: Improper Access Control •
CVSS: 6.8EPSS: 0%CPEs: 8EXPL: 0CVE-2015-8002
https://notcve.org/view.php?id=CVE-2015-8002
The chunked upload API (ApiUpload) in MediaWiki before 1.23.11, 1.24.x before 1.24.4, and 1.25.x before 1.25.3 allows remote authenticated users to cause a denial of service (disk consumption) via a file upload using one byte chunks. La API chunked upload (ApiUpload) en MediaWiki en MediaWiki en versiones anteriores a 1.23.11, 1.24.x en versiones anteriores a 1.24.4 y 1.25.x en versiones anteriores a 1.25.3 permite a usuarios remotos autenticados causar una denegación de servicio (consumo de disco) a través de la subida de un archivo utilizando fragmentos de un byte. • http://www.securitytracker.com/id/1034028 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-October/000181.html https://phabricator.wikimedia.org/T91205 • CWE-399: Resource Management Errors •
CVSS: 6.8EPSS: 0%CPEs: 8EXPL: 0CVE-2015-8003
https://notcve.org/view.php?id=CVE-2015-8003
MediaWiki before 1.23.11, 1.24.x before 1.24.4, and 1.25.x before 1.25.3 does not throttle file uploads, which allows remote authenticated users to have unspecified impact via multiple file uploads. MediaWiki en versiones anteriores a 1.23.11, 1.24.x en versiones anteriores a 1.24.4 y 1.25.x en versiones anteriores a 1.25.3 no regula la subida de archivos, lo que permite a usuarios remotos autenticados tener un impacto no especificado a través de múltiples subidas de archivos. • http://www.securitytracker.com/id/1034028 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-October/000181.html https://phabricator.wikimedia.org/T91850 • CWE-399: Resource Management Errors •
CVSS: 5.0EPSS: 0%CPEs: 7EXPL: 0CVE-2015-6727
https://notcve.org/view.php?id=CVE-2015-6727
The Special:DeletedContributions page in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to determine if an IP is autoblocked via the "Change block" text. Vulnerabilidad en la página Special:DeletedContributions en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos determinar si una IP es autobloqueada a través del texto 'Change block'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 https://github.com/wikimedia/mediawiki/commit/5faabfa1bbf65536ea36108887040198afcb3c82 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://phabricator.wikimedia.org/T106893 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2015-6729
https://notcve.org/view.php?id=CVE-2015-6729
Cross-site scripting (XSS) vulnerability in thumb.php in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to inject arbitrary web script or HTML via the rel404 parameter, which is not properly handled in an error page. Vulnerabilidad de XSS en thumb.php en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro rel404, el cual no es manejado correctamente en una página de error. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76334 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •