CVE-2015-2934
https://notcve.org/view.php?id=CVE-2015-2934
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 does not properly handle when the Zend interpreter xml_parse function does not expand entities, which allows remote attackers to inject arbitrary web script or HTML via a crafted SVG file. MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9, y 1.24.x anterior a 1.24.2 no maneja correctamente cuando la función xml_parse del interprete de Zend no expande entidades, lo que permite a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través de un fichero SVG manipulado. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T88310 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-2935
https://notcve.org/view.php?id=CVE-2015-2935
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to bypass the SVG filtering and obtain sensitive user information via a mixed case @import in a style element in an SVG file, as demonstrated by "@imporT." MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos evadir el filtrado de SVG y obtener información sensible de usuario a través del uso de minúsculas y mayúsculas en @import en un elemento style de un fichero SVG, tal y como se ha demostrado por '@imporT.' • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T85349 https://security.gentoo.org/glsa/201510-05 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-2936
https://notcve.org/view.php?id=CVE-2015-2936
MediaWiki 1.24.x before 1.24.2, when using PBKDF2 for password hashing, allows remote attackers to cause a denial of service (CPU consumption) via a long password. MediaWiki 1.24.x anterior a 1.24.2 cuando se utiliza PBKDF2 para el hash de contraseñas, permite a atacantes remotos causar una denegación de servicio (consumo de CPU) con una contraseña larga. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T64685 https://security.gentoo.org/glsa/201510-05 • CWE-399: Resource Management Errors •
CVE-2015-2937
https://notcve.org/view.php?id=CVE-2015-2937
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2, when using HHVM or Zend PHP, allows remote attackers to cause a denial of service ("quadratic blowup" and memory consumption) via an XML file containing an entity declaration with long replacement text and many references to this entity, a different vulnerability than CVE-2015-2942. MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2, cuando se utiliza HHVM o Zend PHP, permite a atacantes remotos causar una denegación de servicio ('quadratic blowup' y consumo de memoria) a través de un fichero XML que contiene una declaración de entidad con un reemplazamiento de cadena de texto larga y muchas referencias a esta entidad, una vulnerabilidad diferente a CVE-2015-2942. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T71210 https://security.gentoo.org/glsa/201510-05 • CWE-399: Resource Management Errors •
CVE-2015-2938
https://notcve.org/view.php?id=CVE-2015-2938
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2 allows remote attackers to inject arbitrary web script or HTML via a custom JavaScript file, which is not properly handled when previewing the file. Vulnerabilidad de XSS en MediaWiki anterior a 1.19.24, 1.2x anterior a 1.23.9 y 1.24.x anterior a 1.24.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un fichero JavaScript personalizado, lo cual no se maneja debidamente cuando se previsualiza el fichero. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:200 http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/73477 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T85855 https://security.gentoo.org/glsa/201510-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •