CVSS: 9.8EPSS: 0%CPEs: 11EXPL: 0CVE-2015-8626
https://notcve.org/view.php?id=CVE-2015-8626
The User::randomPassword function in MediaWiki before 1.23.12, 1.24.x before 1.24.5, 1.25.x before 1.25.4, and 1.26.x before 1.26.1 generates passwords smaller than $wgMinimalPasswordLength, which makes it easier for remote attackers to obtain access via a brute-force attack. La función User::randomPassword en MediaWiki en versiones anteriores a 1.23.12, 1.24.x en versiones anteriores a 1.24.5, 1.25.x en versiones anteriores a 1.25.4 y 1.26.x en versiones anteriores a 1.26.1 genera contraseñas más pequeñas que $wgMinimalPasswordLength, lo que hace más fácil a atacantes remotos eludir restricciones destinadas al acceso a través de un ataque de fuerza bruta. • http://www.openwall.com/lists/oss-security/2015/12/21/8 http://www.openwall.com/lists/oss-security/2015/12/23/7 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-December/000186.html https://phabricator.wikimedia.org/T115522 • CWE-255: Credentials Management Errors •
CVSS: 6.8EPSS: 0%CPEs: 8EXPL: 0CVE-2015-8002
https://notcve.org/view.php?id=CVE-2015-8002
The chunked upload API (ApiUpload) in MediaWiki before 1.23.11, 1.24.x before 1.24.4, and 1.25.x before 1.25.3 allows remote authenticated users to cause a denial of service (disk consumption) via a file upload using one byte chunks. La API chunked upload (ApiUpload) en MediaWiki en MediaWiki en versiones anteriores a 1.23.11, 1.24.x en versiones anteriores a 1.24.4 y 1.25.x en versiones anteriores a 1.25.3 permite a usuarios remotos autenticados causar una denegación de servicio (consumo de disco) a través de la subida de un archivo utilizando fragmentos de un byte. • http://www.securitytracker.com/id/1034028 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-October/000181.html https://phabricator.wikimedia.org/T91205 • CWE-399: Resource Management Errors •
CVSS: 3.5EPSS: 0%CPEs: 8EXPL: 0CVE-2015-8001
https://notcve.org/view.php?id=CVE-2015-8001
The chunked upload API (ApiUpload) in MediaWiki before 1.23.11, 1.24.x before 1.24.4, and 1.25.x before 1.25.3 does not restrict the uploaded data to the claimed file size, which allows remote authenticated users to cause a denial of service via a chunk that exceeds the file size. La API chunked upload (ApiUpload) en MediaWiki en versiones anteriores a 1.23.11, 1.24.x en versiones anteriores a 1.24.4 y 1.25.x en versiones anteriores a 1.25.3 no restringe los datos subidos al tamaño de archivo declarado, lo que permite a usuarios remotos autenticados causar una denegación de servicio a través de un fragmento que excede del tamaño de archivo. • http://www.securitytracker.com/id/1034028 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-October/000181.html https://phabricator.wikimedia.org/T91203 • CWE-284: Improper Access Control •
CVSS: 6.8EPSS: 0%CPEs: 8EXPL: 0CVE-2015-8003
https://notcve.org/view.php?id=CVE-2015-8003
MediaWiki before 1.23.11, 1.24.x before 1.24.4, and 1.25.x before 1.25.3 does not throttle file uploads, which allows remote authenticated users to have unspecified impact via multiple file uploads. MediaWiki en versiones anteriores a 1.23.11, 1.24.x en versiones anteriores a 1.24.4 y 1.25.x en versiones anteriores a 1.25.3 no regula la subida de archivos, lo que permite a usuarios remotos autenticados tener un impacto no especificado a través de múltiples subidas de archivos. • http://www.securitytracker.com/id/1034028 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-October/000181.html https://phabricator.wikimedia.org/T91850 • CWE-399: Resource Management Errors •
CVSS: 5.0EPSS: 0%CPEs: 8EXPL: 0CVE-2015-8005
https://notcve.org/view.php?id=CVE-2015-8005
MediaWiki before 1.23.11, 1.24.x before 1.24.4, and 1.25.x before 1.25.3 uses the thumbnail ImageMagick command line argument, which allows remote attackers to obtain the installation path by reading the metadata of a PNG thumbnail file. MediaWiki en versiones anteriores a 1.23.11, 1.24.x en versiones anteriores a 1.24.4 y 1.25.x en versiones anteriores a 1.25.3 utiliza el argumento de línea de comando thumbnail ImageMagick, lo que permite atacantes remotos obtener la ruta de instalación leyendo los metadatos de un archivo thumbnail PNG. • http://www.securitytracker.com/id/1034028 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-October/000181.html https://phabricator.wikimedia.org/T108616 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •