CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4379
https://notcve.org/view.php?id=CVE-2012-4379
MediaWiki before 1.18.5, and 1.19.x before 1.19.2 does not send a restrictive X-Frame-Options HTTP header, which allows remote attackers to conduct clickjacking attacks via an embedded API response in an IFRAME element. MediaWiki, en versiones anteriores a la 1.18.5 y versiones 1.19.x anteriores a la 1.19.2, no envía una cabecera HTTP X-Frame-Options restrictiva, lo que permite que atacantes remotos lleven a cabo ataques de secuestro de clic mediante una respuesta API embebida en un elemento IFRAME. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://bugzilla.redhat.com/show_bug.cgi?id=853426 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T41180 • CWE-284: Improper Access Control •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4380
https://notcve.org/view.php?id=CVE-2012-4380
MediaWiki before 1.18.5, and 1.19.x before 1.19.2 allows remote attackers to bypass GlobalBlocking extension IP address blocking and create an account via unspecified vectors. MediaWiki, en versiones anteriores a la 1.18.5 y versiones 1.19.x anteriores a la 1.19.2, permite que atacantes remotos omitan el bloqueo de direcciones IP de la extensión GlobalBlocking y creen una cuenta mediante vectores sin especificar. • http://www.openwall.com/lists/oss-security/2012/08/31/10 http://www.openwall.com/lists/oss-security/2012/08/31/6 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=686330 https://bugzilla.redhat.com/show_bug.cgi?id=853440 https://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html https://phabricator.wikimedia.org/T41824 • CWE-284: Improper Access Control •
CVSS: 9.8EPSS: 0%CPEs: 8EXPL: 1CVE-2015-8009
https://notcve.org/view.php?id=CVE-2015-8009
The MWOAuthDataStore::lookup_token function in Extension:OAuth for MediaWiki 1.25.x before 1.25.3, 1.24.x before 1.24.4, and before 1.23.11 does not properly validate the signature when checking the authorization signature, which allows remote registered Consumers to use another Consumer's credentials by leveraging knowledge of the credentials. La función MWOAuthDataStore::lookup_token Extension:OAuth para MediaWiki versión 1.25.x anterior a 1.25.3, versión 1.24.x anterior a 1.24.4 y anterior a versión 1.23.11, no comprueba apropiadamente la firma cuando verifica la firma de autorización, lo que permite a los consumidores registrados remotos utilizar las credenciales de otro consumidor mediante el aprovechamiento el conocimiento de las credenciales. • http://www.openwall.com/lists/oss-security/2015/10/29/14 http://www.securitytracker.com/id/1034028 https://phabricator.wikimedia.org/T103023 • CWE-255: Credentials Management Errors •
CVSS: 9.8EPSS: 88%CPEs: 8EXPL: 1CVE-2017-0372 – Parameters injection in SyntaxHighlight results in multiple vulnerabilities
https://notcve.org/view.php?id=CVE-2017-0372
Parameters injection in the SyntaxHighlight extension of Mediawiki before 1.23.16, 1.27.3 and 1.28.2 might result in multiple vulnerabilities. Inyección de parámetros en la extensión SyntaxHighlight de Mediawiki, en versiones anteriores a la 1.23.16, 1.27.3 y 1.28.2 podría resultar en múltiples vulnerabilidades. A vulnerability was found in the SyntaxHighlight MediaWiki extension. Using this vulnerability it is possible for an anonymous attacker to pass arbitrary options to the Pygments library. By specifying specially crafted options, it is possible for an attacker to trigger a (stored) cross site scripting condition. • https://bugs.debian.org/861585 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000209.html https://phabricator.wikimedia.org/T158689 https://security-tracker.debian.org/tracker/CVE-2017-0372 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6331
https://notcve.org/view.php?id=CVE-2016-6331
ApiParse in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to bypass intended per-title read restrictions via a parse action to api.php. ApiParse en MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y 1.27.x en versiones anteriores a 1.27.1 permite a atacantes remotos eludir las restricciones de lectura previstas por título a través de una acción de análisis a api.php. • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T115333 • CWE-284: Improper Access Control •