CVSS: 5.0EPSS: 0%CPEs: 18EXPL: 0CVE-2013-6472
https://notcve.org/view.php?id=CVE-2013-6472
MediaWiki before 1.19.10, 1.2x before 1.21.4, and 1.22.x before 1.22.1 allows remote attackers to obtain information about deleted page via the (1) log API, (2) enhanced RecentChanges, and (3) user watchlists. MediaWiki anterior a 1.19.10, 1.2x anterior a 1.21.4 y 1.22.x anterior a 1.22.1 permite a atacantes remotos obtener información acerca de página eliminada a través de las listas de vigilancia de (1) la API de registro, (2) Enhanced RecentChanges y (3) usuarios. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-January/000138.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2013-6451
https://notcve.org/view.php?id=CVE-2013-6451
Cross-site scripting (XSS) vulnerability in MediaWiki 1.19.9 before 1.19.10, 1.2x before 1.21.4, and 1.22.x before 1.22.1 allows remote attackers to inject arbitrary web script or HTML via unspecified CSS values. Una vulnerabilidad de tipo cross-site scripting (XSS) en MediaWiki versiones 1.19.9 anteriores a 1.19.10, versiones 1.2x anteriores a 1.21.4 y versiones 1.22.x anteriores a 1.22.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de valores CSS no especificados. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-January/000138.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 18EXPL: 0CVE-2013-6453
https://notcve.org/view.php?id=CVE-2013-6453
MediaWiki before 1.19.10, 1.2x before 1.21.4, and 1.22.x before 1.22.1 does not properly sanitize SVG files, which allows remote attackers to have unspecified impact via invalid XML. MediaWiki anterior a 1.19.10, 1.2x anterior a 1.21.4 y 1.22.x anterior a 1.22.1 no limpia debidamente archivos SVG, lo que permite a atacantes remotos tener impacto no especificado a través de XML inválido. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-January/000138.html • CWE-20: Improper Input Validation •
CVSS: 5.8EPSS: 0%CPEs: 90EXPL: 0CVE-2014-2243
https://notcve.org/view.php?id=CVE-2014-2243
includes/User.php in MediaWiki before 1.19.12, 1.20.x and 1.21.x before 1.21.6, and 1.22.x before 1.22.3 terminates validation of a user token upon encountering the first incorrect character, which makes it easier for remote attackers to obtain access via a brute-force attack that relies on timing differences in responses to incorrect token guesses. includes/User.php en MediaWiki anterior a 1.19.12, 1.20.x y 1.21.x anterior a 1.21.6 y 1.22.x anterior a 1.22.3 termina la validación de un token de usuario cuando encuentra el primer caracter incorrecto, lo que facilita a atacantes remotos obtener acceso a través de un ataque de fuerza bruta que depende de diferencias de tiempos en las respuestas a adivinanzas de token incorrectas. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-February/000141.html http://openwall.com/lists/oss-security/2014/02/28/1 http://openwall.com/lists/oss-security/2014/03/01/2 https://bugzilla.redhat.com/show_bug.cgi?id=1071136 https://bugzilla.wikimedia.org/show_bug.cgi?id=61346 https://gerrit.wikimedia.org/r/#/q/I2a9e89120f7092015495e638c6fa9f67adc9b84f%2Cn%2Cz • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 4.3EPSS: 0%CPEs: 90EXPL: 0CVE-2014-2242
https://notcve.org/view.php?id=CVE-2014-2242
includes/upload/UploadBase.php in MediaWiki before 1.19.12, 1.20.x and 1.21.x before 1.21.6, and 1.22.x before 1.22.3 does not prevent use of invalid namespaces in SVG files, which allows remote attackers to conduct cross-site scripting (XSS) attacks via an SVG upload, as demonstrated by use of a W3C XHTML namespace in conjunction with an IFRAME element. includes/upload/UploadBase.php en MediaWiki anterior a 1.19.12, 1.20.x y 1.21.x anterior a 1.21.6 y 1.22.x anterior a 1.22.3 no previene el uso de espacios de nombres inválidos en archivos SVG, lo que permite a atacantes remotos realizar ataques XSS a través de una subida de SVG, tal y como se demostró mediante el uso de un espacio de nombre W3C XHTML en conjunto con un elemento IFRAME. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-February/000141.html http://openwall.com/lists/oss-security/2014/02/28/1 http://openwall.com/lists/oss-security/2014/03/01/2 http://www.securityfocus.com/bid/65910 https://bugzilla.redhat.com/show_bug.cgi?id=1071135 https://bugzilla.wikimedia.org/show_bug.cgi?id=60771 https://gerrit.wikimedia.org/r/#/q/7d923a6b53f7fbcb0cbc3a19797d741bf6f440eb%2Cn%2Cz • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •