CVSS: 4.3EPSS: 0%CPEs: 49EXPL: 0CVE-2015-2932
https://notcve.org/view.php?id=CVE-2015-2932
Incomplete blacklist vulnerability in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to inject arbitrary web script or HTML via an animated href XLink element. Vulnerabilidad de lista negra incompleta en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un elemento href XLink animado. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T86711 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 49EXPL: 0CVE-2015-2938
https://notcve.org/view.php?id=CVE-2015-2938
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to inject arbitrary web script or HTML via a custom JavaScript file, which is not properly handled when previewing the file. Vulnerabilidad de XSS en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un fichero JavaScript personalizado, lo cual no se maneja debidamente cuando se previsualiza el fichero. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T85855 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 51EXPL: 0CVE-2014-9487
https://notcve.org/view.php?id=CVE-2014-9487
The getid3 library in MediaWiki before 1.24.1, 1.23.8, 1.22.15 and 1.19.23 allows remote attackers to read arbitrary files, cause a denial of service, or possibly have other impact via an XML External Entity (XXE) attack. NOTE: Related to CVE-2014-2053. La biblioteca getid3 en MediaWiki en versiones anteriores a la 1.24.1, 1.23.8, 1.22.15 y 1.19.23 permite que atacantes remotos lean archivos arbitrarios, provoquen una denegación de servicio u otro tipo de impacto mediante un ataque XEE (XML External Entity). NOTA: Relacionado con CVE-2014-2053. • http://www.openwall.com/lists/oss-security/2015/01/03/13 https://bugzilla.redhat.com/show_bug.cgi?id=1175828 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-December/000173.html https://security.gentoo.org/glsa/201502-04 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 5.9EPSS: 0%CPEs: 4EXPL: 0CVE-2014-9481
https://notcve.org/view.php?id=CVE-2014-9481
The Scribunto extension for MediaWiki allows remote attackers to obtain the rollback token and possibly other sensitive information via a crafted module, related to unstripping special page HTML. La extensión Scribunto para MediaWiki, permite a atacantes remotos obtener el token de reversión y posiblemente otra información confidencial por medio de un módulo diseñado, relacionado con el desarmado de páginas HTML especiales. • http://www.openwall.com/lists/oss-security/2014/12/21/2 http://www.openwall.com/lists/oss-security/2015/01/03/13 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-December/000173.html https://phabricator.wikimedia.org/T73167 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 3.5EPSS: 0%CPEs: 46EXPL: 0CVE-2014-9475
https://notcve.org/view.php?id=CVE-2014-9475
Cross-site scripting (XSS) vulnerability in thumb.php in MediaWiki before 1.19.23, 1.2x before 1.22.15, 1.23.x before 1.23.8, and 1.24.x before 1.24.1 allows remote authenticated users to inject arbitrary web script or HTML via a wikitext message. Vulnerabilidad de XSS en thumb.php en MediaWiki anterior a 1.19.23, 1.2x anterior a 1.22.15, 1.23.x anterior a 1.23.8, y 1.24.x anterior a 1.24.1 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de un mensaje wikitext. • http://www.debian.org/security/2014/dsa-3110 http://www.mandriva.com/security/advisories?name=MDVSA-2015:006 http://www.openwall.com/lists/oss-security/2014/12/21/2 http://www.openwall.com/lists/oss-security/2015/01/03/13 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-December/000173.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •