CVSS: 7.1EPSS: 3%CPEs: 49EXPL: 0CVE-2015-2937
https://notcve.org/view.php?id=CVE-2015-2937
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2, when using HHVM or Zend PHP, allows remote attackers to cause a denial of service ("quadratic blowup" and memory consumption) via an XML file containing an entity declaration with long replacement text and many references to this entity, a different vulnerability than CVE-2015-2942. MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2, cuando se utiliza HHVM o Zend PHP, permite a atacantes remotos causar una denegación de servicio ('quadratic blowup' y consumo de memoria) a través de un fichero XML que contiene una declaración de entidad con un reemplazamiento de cadena de texto larga y muchas referencias a esta entidad, una vulnerabilidad diferente a CVE-2015-2942. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T71210 https://security.gentoo.org/glsa/201510-05 • CWE-399: Resource Management Errors •
CVSS: 4.3EPSS: 0%CPEs: 49EXPL: 1CVE-2015-2941
https://notcve.org/view.php?id=CVE-2015-2941
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2, when using HHVM, allows remote attackers to inject arbitrary web script or HTML via an invalid parameter in a wddx format request to api.php, which is not properly handled in an error message, related to unsafe calls to wddx_serialize_value. Vulnerabilidad de XSS en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2, cuando se utiliza HHVM, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un parametro inválido en una petición con formato wddx hacia api.php, lo cual no se maneja debidamente en un mensaje de error, relacionado con llamadas no seguras hacia wddx_serialize_value. • http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T85851 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 49EXPL: 0CVE-2015-2932
https://notcve.org/view.php?id=CVE-2015-2932
Incomplete blacklist vulnerability in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to inject arbitrary web script or HTML via an animated href XLink element. Vulnerabilidad de lista negra incompleta en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un elemento href XLink animado. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T86711 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 49EXPL: 0CVE-2015-2938
https://notcve.org/view.php?id=CVE-2015-2938
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to inject arbitrary web script or HTML via a custom JavaScript file, which is not properly handled when previewing the file. Vulnerabilidad de XSS en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un fichero JavaScript personalizado, lo cual no se maneja debidamente cuando se previsualiza el fichero. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T85855 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 51EXPL: 0CVE-2014-9487
https://notcve.org/view.php?id=CVE-2014-9487
The getid3 library in MediaWiki before 1.24.1, 1.23.8, 1.22.15 and 1.19.23 allows remote attackers to read arbitrary files, cause a denial of service, or possibly have other impact via an XML External Entity (XXE) attack. NOTE: Related to CVE-2014-2053. La biblioteca getid3 en MediaWiki en versiones anteriores a la 1.24.1, 1.23.8, 1.22.15 y 1.19.23 permite que atacantes remotos lean archivos arbitrarios, provoquen una denegación de servicio u otro tipo de impacto mediante un ataque XEE (XML External Entity). NOTA: Relacionado con CVE-2014-2053. • http://www.openwall.com/lists/oss-security/2015/01/03/13 https://bugzilla.redhat.com/show_bug.cgi?id=1175828 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-December/000173.html https://security.gentoo.org/glsa/201502-04 • CWE-611: Improper Restriction of XML External Entity Reference •