CVE-2015-2932
https://notcve.org/view.php?id=CVE-2015-2932
Incomplete blacklist vulnerability in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to inject arbitrary web script or HTML via an animated href XLink element. Vulnerabilidad de lista negra incompleta en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un elemento href XLink animado. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T86711 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-2935
https://notcve.org/view.php?id=CVE-2015-2935
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to bypass the SVG filtering and obtain sensitive user information via a mixed case @import in a style element in an SVG file, as demonstrated by "@imporT." MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos evadir el filtrado de SVG y obtener información sensible de usuario a través del uso de minúsculas y mayúsculas en @import en un elemento style de un fichero SVG, tal y como se ha demostrado por '@imporT.' • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T85349 https://security.gentoo.org/glsa/201510-05 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-2937
https://notcve.org/view.php?id=CVE-2015-2937
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2, when using HHVM or Zend PHP, allows remote attackers to cause a denial of service ("quadratic blowup" and memory consumption) via an XML file containing an entity declaration with long replacement text and many references to this entity, a different vulnerability than CVE-2015-2942. MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2, cuando se utiliza HHVM o Zend PHP, permite a atacantes remotos causar una denegación de servicio ('quadratic blowup' y consumo de memoria) a través de un fichero XML que contiene una declaración de entidad con un reemplazamiento de cadena de texto larga y muchas referencias a esta entidad, una vulnerabilidad diferente a CVE-2015-2942. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T71210 https://security.gentoo.org/glsa/201510-05 • CWE-399: Resource Management Errors •
CVE-2015-2934
https://notcve.org/view.php?id=CVE-2015-2934
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 does not properly handle when the Zend interpreter xml_parse function does not expand entities, which allows remote attackers to inject arbitrary web script or HTML via a crafted SVG file. MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9, y 1.24.x anterior a 1.24.2 no maneja correctamente cuando la función xml_parse del interprete de Zend no expande entidades, lo que permite a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través de un fichero SVG manipulado. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T88310 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-2933
https://notcve.org/view.php?id=CVE-2015-2933
Cross-site scripting (XSS) vulnerability in the Html class in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to inject arbitrary web script or HTML via a LanguageConverter substitution string when using a language variant. Vulnerabilidad de XSS en la clase Html en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9, y 1.24.x anterior a 1.24.2 permite a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través de una cadena de sustitución LanguageConverter cuando utiliza una variante de lenguaje. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T73394 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •