CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2013-4572
https://notcve.org/view.php?id=CVE-2013-4572
The CentralNotice extension for MediaWiki before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3 sets the Cache-Control header to cache session cookies when a user is autocreated, which allows remote attackers to authenticate as the created user. La extensión CentralNotice para MediaWiki versiones anteriores a 1.19.9, versiones 1.20.x anteriores a 1.20.8 y versiones 1.21.x anteriores a 1.21.3, establece el encabezado Cache-Control para almacenar en caché las cookies de sesión cuando un usuario es autocreado, lo que permite a atacantes remotos autenticarse como usuario creado. • http://lists.fedoraproject.org/pipermail/package-announce/2013-December/122998.html http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123011.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html https://bugzilla.wikimedia.org/show_bug.cgi?id=53032 • CWE-384: Session Fixation •
CVSS: 6.8EPSS: 0%CPEs: 23EXPL: 0CVE-2012-5394
https://notcve.org/view.php?id=CVE-2012-5394
Cross-site request forgery (CSRF) vulnerability in the CentralAuth extension for MediaWiki before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3 allows remote attackers to hijack the authentication of users for requests that login via vectors involving image loading. Vulnerabilidad de Cross-site request forgery (CSRF) en la extensión de MediaWiki CentralAuth antes de 1.19.9, 1.20.x anterior a 1.20.8 y 1.21.x anterior a 1.21.3 permite a atacantes remotos secuestrar la autenticación de los usuarios para las solicitudes de inicio de sesión que a través de de vectores relacionados con la carga de imágenes. • http://lists.fedoraproject.org/pipermail/package-announce/2013-December/122998.html http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123011.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html https://bugzilla.wikimedia.org/show_bug.cgi?id=40747 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 23EXPL: 0CVE-2013-4569
https://notcve.org/view.php?id=CVE-2013-4569
The CleanChanges extension for MediaWiki before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3, when "Group changes by page in recent changes and watchlist" is enabled, allows remote attackers to obtain sensitive information (revision-deleted IPs) via the Recent Changes page. La extensión CleanChanges de MediaWiki anterior a 1.19.9, 1.20.x anterior a 1.20.8 y 1.21.x anterior a 1.21.3, cuando "Group changes by page in recent changes and watchlist" está activada, permite a atacantes remotos obtener información sensible (revision-borrado IPs) a través de la página Recent Changes. • http://lists.fedoraproject.org/pipermail/package-announce/2013-December/122998.html http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123011.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html https://bugzilla.wikimedia.org/show_bug.cgi?id=54294 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 23EXPL: 0CVE-2013-4567
https://notcve.org/view.php?id=CVE-2013-4567
Incomplete blacklist vulnerability in Sanitizer::checkCss in MediaWiki before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3 allows remote attackers to conduct cross-site scripting (XSS) attacks via a \b (backspace) character in CSS. Vulenrabilidad de lista negra incompleta en Sanitizer::checkCss en MediaWiki anterior a 1.19.9, 1.20.x anterior a 1.20.8 y 1.21.x anterior a 1.21.3 que permite a atacantes remotos realizar cross-site scripting (XSS) a través de un \b (retroceso carácter) en el CSS. • http://lists.fedoraproject.org/pipermail/package-announce/2013-December/122998.html http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123011.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html http://secunia.com/advisories/57472 http://www.debian.org/security/2014/dsa-2891 http://www.securityfocus.com/bid/63760 https://bugzilla.wikimedia.org/show_bug.cgi?id=55332 •
CVSS: 4.3EPSS: 0%CPEs: 23EXPL: 0CVE-2013-4568
https://notcve.org/view.php?id=CVE-2013-4568
Incomplete blacklist vulnerability in Sanitizer::checkCss in MediaWiki before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3 allows remote attackers to conduct cross-site scripting (XSS) attacks via certain non-ASCII characters in CSS, as demonstrated using variations of "expression" containing (1) full width characters or (2) IPA extensions, which are converted and rendered by Internet Explorer. Vulnerabilidad de blacklist incompleta en Sanitizer::checkCss en MediaWiki anteriores a 1.19.9, 1.20.8, y 1.21.x (anteriores a 1.21.3) permite a atacantes remotos conducir ataques de cross-site scripting (XSS) a través de ciertos caracteres no-ASCII en CSS, como fue demostrado utilizando variaciones de "expresion" que contienen (1) caracteres de ancho total o (2) extensiones IPA, las cuales son convertidas y renderizadas por Internet Explorer. • http://lists.fedoraproject.org/pipermail/package-announce/2013-December/122998.html http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123011.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html http://secunia.com/advisories/57472 http://www.debian.org/security/2014/dsa-2891 http://www.securityfocus.com/bid/63761 https://bugzilla.wikimedia.org/attachment.cgi?id=13452&action=diff https://bugzilla.wikimedia.org/show_bug.cgi?id=55332 •