CVE-2014-8763
https://notcve.org/view.php?id=CVE-2014-8763
DokuWiki before 2014-05-05b, when using Active Directory for LDAP authentication, allows remote attackers to bypass authentication via a password starting with a null (\0) character and a valid user name, which triggers an unauthenticated bind. DokuWiki anterior a 2014-05-05b, cuando utiliza Active Directory para la autenticación LDAP, permite a atacantes remotos evadir la autenticación a través de una contraseña que empiece por un caracter nulo (\0) y un nombre de usuario válido, lo que provoca un bind no autenticado. • http://advisories.mageia.org/MGASA-2014-0438.html http://secunia.com/advisories/61983 http://www.debian.org/security/2014/dsa-3059 http://www.freelists.org/post/dokuwiki/Fwd-Dokuwiki-maybe-security-issue-Null-byte-poisoning-in-LDAP-authentication http://www.openwall.com/lists/oss-security/2014/10/13/3 http://www.openwall.com/lists/oss-security/2014/10/16/9 https://github.com/splitbrain/dokuwiki/pull/868 • CWE-287: Improper Authentication •
CVE-2012-2129
https://notcve.org/view.php?id=CVE-2012-2129
Cross-site scripting (XSS) vulnerability in doku.php in DokuWiki 2012-01-25 Angua allows remote attackers to inject arbitrary web script or HTML via the target parameter in an edit action. Vulnerabilidad de ejecución de ejecución de comandos en sitios cruzados (XSS) en doku.php en DokuWiki 2012-01-25 Angua permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro de destino en una acción de edición. • http://bugs.dokuwiki.org/index.php?do=details&task_id=2487 http://ircrash.com/uploads/dokuwiki.txt http://seclists.org/bugtraq/2012/Apr/121 http://secunia.com/advisories/48848 http://www.openwall.com/lists/oss-security/2012/04/22/4 http://www.openwall.com/lists/oss-security/2012/04/23/1 http://www.securityfocus.com/bid/53041 https://bugs.gentoo.org/show_bug.cgi?id=412891 https://bugzilla.redhat.com/show_bug.cgi?id=815122 https://exchange.xforce.ibmcloud.c • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-2128
https://notcve.org/view.php?id=CVE-2012-2128
Cross-site request forgery (CSRF) vulnerability in doku.php in DokuWiki 2012-01-25 Angua allows remote attackers to hijack the authentication of administrators for requests that add arbitrary users. NOTE: this issue has been disputed by the vendor, who states that it is resultant from CVE-2012-2129: "the exploit code simply uses the XSS hole to extract a valid CSRF token." ** EN DISPUTA ** Vulnerabilidad de fasificación de peticiones en sitios cruzados (CSRF) en doku.php en DokuWiki 2012-01-25 Angua permite a atacantes remotos secuestrar la autenticación de los administradores de las solicitudes que se suman los usuarios arbitrarios. NOTA: este problema ha sido discutido por el vendedor, quien afirma que lo es de CVE-2012-2129: ". El código de explotación simplemente usa el agujero XSS para extraer un token CSRF válido" • http://bugs.dokuwiki.org/index.php?do=details&task_id=2488 http://ircrash.com/uploads/dokuwiki.txt http://seclists.org/bugtraq/2012/Apr/121 http://secunia.com/advisories/48848 http://www.openwall.com/lists/oss-security/2012/04/22/4 http://www.openwall.com/lists/oss-security/2012/04/23/1 http://www.securityfocus.com/bid/53041 https://bugzilla.redhat.com/show_bug.cgi?id=815122 https://exchange.xforce.ibmcloud.com/vulnerabilities/74907 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2012-0283
https://notcve.org/view.php?id=CVE-2012-0283
Cross-site scripting (XSS) vulnerability in the tpl_mediaFileList function in inc/template.php in DokuWiki before 2012-01-25b allows remote attackers to inject arbitrary web script or HTML via the ns parameter in a medialist action to lib/exe/ajax.php. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función tpl_mediaFileList en inc/template.php en DokuWiki anterior a 2012-01-25b, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro ns en una acción medialist para lib/exe/ajax.php. • http://bugs.dokuwiki.org/index.php?do=details&task_id=2561 http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090755.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090899.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090938.html http://secunia.com/secunia_research/2012-24 http://security.gentoo.org/glsa/glsa-201301-07.xml http://www.securityfocus.com/bid/54439 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-3727
https://notcve.org/view.php?id=CVE-2011-3727
DokuWiki 2009-12-25c allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by lib/tpl/index.php and certain other files. DokuWiki v2009-12-25c permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con lib/tpl/index.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/dokuwiki-2009-12-25c http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090755.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090899.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090938.html http://security.gentoo.org/glsa/glsa-201301-07.xml http://www.mandriva.com/security/a • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •