Page 42 of 239 results (0.008 seconds)

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0

Cross-site scripting (XSS) vulnerability in thumb.php in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to inject arbitrary web script or HTML via the f parameter, which is not properly handled in an error page, related to "ForeignAPI images." Vulnerabilidad de XSS en thumb.php en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro f, el cual no es manejado correctamente en una página de error, relacionado con 'ForeignAPI images'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76334 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0

The ApiBase::getWatchlistUser function in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 does not perform token comparison in constant time, which allows remote attackers to guess the watchlist token and bypass CSRF protection via a timing attack. Vulnerabilidad en la función ApiBase::getWatchlistUser en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, no realiza el token de comparación en tiempo constante, lo que permite a atacantes remotos adivinar el token de lista de observación y evadir la protección CSRF a través de un ataque de oportunidad. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76334 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://security.gentoo.org/glsa/201510-05 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 5.0EPSS: 0%CPEs: 7EXPL: 0

The Special:DeletedContributions page in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to determine if an IP is autoblocked via the "Change block" text. Vulnerabilidad en la página Special:DeletedContributions en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos determinar si una IP es autobloqueada a través del texto 'Change block'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 https://github.com/wikimedia/mediawiki/commit/5faabfa1bbf65536ea36108887040198afcb3c82 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://phabricator.wikimedia.org/T106893 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0

Cross-site scripting (XSS) vulnerability in thumb.php in MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2 allows remote attackers to inject arbitrary web script or HTML via the rel404 parameter, which is not properly handled in an error page. Vulnerabilidad de XSS en thumb.php en MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro rel404, el cual no es manejado correctamente en una página de error. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76334 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0

Cross-site scripting (XSS) vulnerability in contrib/cssgen.php in the GeSHi, as used in the SyntaxHighlight_GeSHi extension and MediaWiki before 1.23.10, 1.24.x before 1.24.3, and 1.25.x before 1.25.2, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de XSS en contrib/cssgen.php en GeSHi, como se usa en la extensión SyntaxHighligh_GeSHi y MediaWiki en versiones anteriores 1.23.10, 1.24.x en versiones anteriores 1.24.3 y 1.25.x en versiones anteriores a 1.25.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165193.html http://www.openwall.com/lists/oss-security/2015/08/12/6 http://www.openwall.com/lists/oss-security/2015/08/27/6 http://www.securityfocus.com/bid/76361 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-August/000179.html https://phabricator.wikimedia.org/T108198 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •