NotCVE - vendor:"Mediawiki" product:"Mediawiki" version:"

Page 43 of 359 results (0.006 seconds)

CVSS: 6.1EPSS: 0%CPEs: 11EXPL: 0

CVE-2015-8622

https://notcve.org/view.php?id=CVE-2015-8622

Cross-site scripting (XSS) vulnerability in MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1, when is configured with a relative URL, allows remote authenticated users to inject arbitrary web script or HTML via wikitext, as demonstrated by a wikilink to a page named "javascript:alert('XSS!')." Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4 y 1.26.x en versiones anteriores a 1.26.1, cuando se configura con una URL relativa, permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrario a través de wikitext, como demuestra un wikilink a una página llamada "javascript:alert('XSS!')". • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T117899 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.3EPSS: 0%CPEs: 11EXPL: 0

CVE-2015-8627

https://notcve.org/view.php?id=CVE-2015-8627

MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 do not properly normalize IP addresses containing zero-padded octets, which might allow remote attackers to bypass intended access restrictions by using an IP address that was not supposed to have been allowed. MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4 y 1.26.x en versiones anteriores a 1.26.1 no normaliza correctamente las direcciones IP que contienen octetos de relleno cero, lo que podría permitir a atacantes remotos eludir las restricciones destinadas al acceso utilizando una dirección IP que no se suponía que hubiera sido autorizada. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T97897 • CWE-284: Improper Access Control •

CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0

CVE-2015-8623

https://notcve.org/view.php?id=CVE-2015-8623

The User::matchEditToken function in includes/User.php in MediaWiki before 1.23.12 and 1.24.x before 1.24.5 does not perform token comparison in constant time before returning, which allows remote attackers to guess the edit token and bypass CSRF protection via a timing attack, a different vulnerability than CVE-2015-8624. La función User::matchEditToken en includes/User.php en MediaWiki en versiones anteriores a 1.23.12 y 1.24.x en versiones anteriores a 1.24.5 no realiza comparación de token en tiempo constante antes de regresar, lo que permite a atacantes remotos adivinar el token de edición y eludir la protección CSRF a través de un ataque de temporización, una vulnerabilidad diferente a CVE-2015-8624. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://gerrit.wikimedia.org/r/#/c/156336/5/includes/User.php https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T119309 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 8.8EPSS: 0%CPEs: 11EXPL: 0

CVE-2015-8624

https://notcve.org/view.php?id=CVE-2015-8624

The User::matchEditToken function in includes/User.php in MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 does not perform token comparison in constant time before determining if a debugging message should be logged, which allows remote attackers to guess the edit token and bypass CSRF protection via a timing attack, a different vulnerability than CVE-2015-8623. La función User::matchEditToken en includes/User.php en MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4 y 1.26.x en versiones anteriores a 1.26.1 no realiza la comparación de token en tiempo constante antes de determinar si se debe registrar un mensaje de depuración, lo que permite a atacantes remotos adivinar el token de edición y eludir la protección CSRF a través de un ataque de temporización, una vulnerabilidad diferente a CVE-2015-8623. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T119309 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 7.5EPSS: 0%CPEs: 11EXPL: 0

CVE-2015-8625

https://notcve.org/view.php?id=CVE-2015-8625

MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 do not properly sanitize parameters when calling the cURL library, which allows remote attackers to read arbitrary files via an @ (at sign) character in unspecified POST array parameters. MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4, y 1.26.x en versiones anteriores a 1.26.1 no desinfecta adecuadamente los parámetros al llamar a la biblioteca cURL, lo que permite a los atacantes remotos leer archivos arbitrarios a través de un carácter @ (en signo) en parámetros de array POST no especificados. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T118032 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

1...41 42 43 44 45