CVE-2010-0289
https://notcve.org/view.php?id=CVE-2010-0289
Multiple cross-site request forgery (CSRF) vulnerabilities in the ACL Manager plugin (plugins/acl/ajax.php) in DokuWiki before 2009-12-25c allow remote attackers to hijack the authentication of administrators for requests that modify access control rules, and other unspecified requests, via unknown vectors. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el plugin ACL Manager (plugins/acl/ajax.php) de DokuWiki en versiones anteriores a la v2009-12-25c. Permiten a atacantes remotos secuestrar la autenticación de los administradores para peticiones que modifican el acceso a las reglas de control de acceso, y otras peticiones sin especificar, a través de vectores de ataque desconocidos. • http://bugs.splitbrain.org/index.php?do=details&task_id=1853 http://freshmeat.net/projects/dokuwiki/tags/security-fix http://lists.fedoraproject.org/pipermail/package-announce/2010-February/034729.html http://lists.fedoraproject.org/pipermail/package-announce/2010-February/034831.html http://osvdb.org/61708 http://secunia.com/advisories/38205 http://security.gentoo.org/glsa/glsa-201301-07.xml http://www.debian.org/security/2010/dsa-1976 http://www.splitbrain.org/blog/2010-01/17-dok • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2009-1960 – Dokuwiki 2009-02-14 - Local File Inclusion
https://notcve.org/view.php?id=CVE-2009-1960
inc/init.php in DokuWiki 2009-02-14, rc2009-02-06, and rc2009-01-30, when register_globals is enabled, allows remote attackers to include and execute arbitrary local files via the config_cascade[main][default][] parameter to doku.php. NOTE: PHP remote file inclusion is also possible in PHP 5 using ftp:// URLs. inc/init.php de DokuWiki 2009-02-14, rc2009-02-06 y rc2009-01-30, cuando register_globals está habilitado, permite a atacantes remotos incluir y ejecutar ficheros locales de su elección a través del parámetro config_cascade[main][default][] de doku.php. NOTA: también es posible una inclusión remota de fichero PHP en PHP v5 que utilice URLs ftp://. • https://www.exploit-db.com/exploits/8781 https://www.exploit-db.com/exploits/8812 http://bugs.splitbrain.org/index.php?do=details&task_id=1700 http://dev.splitbrain.org/darcsweb/darcsweb.cgi?r=dokuwiki%3Ba=commitdiff%3Bh=20090526145030-7ad00-c0483e021f47898c8597f3bfbdd26c637f891d86.gz http://secunia.com/advisories/35218 http://www.securityfocus.com/bid/35095 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2006-6965
https://notcve.org/view.php?id=CVE-2006-6965
CRLF injection vulnerability in lib/exe/fetch.php in DokuWiki 2006-03-09e, and possibly earlier, allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via CRLF sequences in the media parameter. NOTE: this issue can be leveraged for XSS attacks. Vulnerabilidad de inyección CRLF en lib/exe/fetch.php en DokuWiki 2006-03-09e, y posiblemente anteriores, permite a atacantes remotos inyectar cabeceras HTTP de su elección y llevar a cabo ataques de división de respuesta HTTP mediante secuencias CRLF en el parámetro media. NOTA: este problema puede ser aprovechado para ataques XSS. • http://osvdb.org/31620 http://secunia.com/advisories/23926 http://secunia.com/advisories/24853 http://security.gentoo.org/glsa/glsa-200704-08.xml http://sla.ckers.org/forum/read.php?3%2C880%2C1361#msg-1361 http://www.securityfocus.com/bid/22236 http://www.vupen.com/english/advisories/2007/0357 https://exchange.xforce.ibmcloud.com/vulnerabilities/31930 •
CVE-2006-5098
https://notcve.org/view.php?id=CVE-2006-5098
lib/exec/fetch.php in DokuWiki before 2006-03-09e allows remote attackers to cause a denial of service (CPU consumption) via large w and h parameters, when resizing an image. lib/exec/fetch.php en DokuWiki anterior a 09/03/2006 permite a un atacante remoto provocar una denegación de servicio (consumo de CPU) a través de los parámetros w y h, cuando se está redimensionando una imagen. • http://bugs.splitbrain.org/?do=details&id=924 http://secunia.com/advisories/22192 http://secunia.com/advisories/22199 http://security.gentoo.org/glsa/glsa-200609-20.xml http://www.vupen.com/english/advisories/2006/3851 •
CVE-2006-5099
https://notcve.org/view.php?id=CVE-2006-5099
lib/exec/fetch.php in DokuWiki before 2006-03-09e, when conf[imconvert] is configured to use ImageMagick, allows remote attackers to execute arbitrary commands via shell metacharacters in the (1) w and (2) h parameters, which are not filtered when invoking convert. lib/exec/fetch.php en DokuWiki anterior a 09/03/2006, cuando se configura conf[imconvert] para usar ImageMagick, permite a un atacante remoto ejecutar comandos de su elección a través de los metacaracteres del interprete de comandos en los parámetros (1)w y (2) h, los cuales no fueron filtrados cuando se invocó la conversión. • http://bugs.splitbrain.org/?do=details&id=926 http://secunia.com/advisories/22192 http://secunia.com/advisories/22199 http://security.gentoo.org/glsa/glsa-200609-20.xml http://www.vupen.com/english/advisories/2006/3851 •