CVSS: 5.0EPSS: 0%CPEs: 7EXPL: 0CVE-2015-6727
https://notcve.org/view.php?id=CVE-2015-6727
The Special:DeletedContributions page in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to determine if an IP is autoblocked via the "Change block" text. Vulnerabilidad en la página Special:DeletedContributions en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos determinar si una IP es autobloqueada a través del texto 'Change block'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 https://github.com/wikimedia/mediawiki/commit/5faabfa1bbf65536ea36108887040198afcb3c82 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://phabricator.wikimedia.org/T106893 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2015-6728
https://notcve.org/view.php?id=CVE-2015-6728
The ApiBase::getWatchlistUser function in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 does not perform token comparison in constant time, which allows remote attackers to guess the watchlist token and bypass CSRF protection via a timing attack. Vulnerabilidad en la función ApiBase::getWatchlistUser en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, no realiza el token de comparación en tiempo constante, lo que permite a atacantes remotos adivinar el token de lista de observación y evadir la protección CSRF a través de un ataque de oportunidad. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76334 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://security.gentoo.org/glsa/201510-05 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2015-6729
https://notcve.org/view.php?id=CVE-2015-6729
Cross-site scripting (XSS) vulnerability in thumb.php in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to inject arbitrary web script or HTML via the rel404 parameter, which is not properly handled in an error page. Vulnerabilidad de XSS en thumb.php en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro rel404, el cual no es manejado correctamente en una página de error. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76334 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2015-6730
https://notcve.org/view.php?id=CVE-2015-6730
Cross-site scripting (XSS) vulnerability in thumb.php in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to inject arbitrary web script or HTML via the f parameter, which is not properly handled in an error page, related to "ForeignAPI images." Vulnerabilidad de XSS en thumb.php en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro f, el cual no es manejado correctamente en una página de error, relacionado con 'ForeignAPI images'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76334 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 3%CPEs: 6EXPL: 0CVE-2015-6733
https://notcve.org/view.php?id=CVE-2015-6733
GeSHi, as used in the SyntaxHighlight_GeSHi extension and MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2, allows remote attackers to cause a denial of service (resource consumption) via unspecified vectors. Vulnerabilidad en GeSHi, como se usa en la extensión SyntaxHighligh_GeSHi y MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de vectores no especificados. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76361 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://phabricator.wikimedia.org/T101608 https://security.gentoo.org/glsa/201510-05 • CWE-399: Resource Management Errors •