CVSS: 4.3EPSS: 0%CPEs: 23EXPL: 0CVE-2013-4568
https://notcve.org/view.php?id=CVE-2013-4568
Incomplete blacklist vulnerability in Sanitizer::checkCss in MediaWiki before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3 allows remote attackers to conduct cross-site scripting (XSS) attacks via certain non-ASCII characters in CSS, as demonstrated using variations of "expression" containing (1) full width characters or (2) IPA extensions, which are converted and rendered by Internet Explorer. Vulnerabilidad de blacklist incompleta en Sanitizer::checkCss en MediaWiki anteriores a 1.19.9, 1.20.8, y 1.21.x (anteriores a 1.21.3) permite a atacantes remotos conducir ataques de cross-site scripting (XSS) a través de ciertos caracteres no-ASCII en CSS, como fue demostrado utilizando variaciones de "expresion" que contienen (1) caracteres de ancho total o (2) extensiones IPA, las cuales son convertidas y renderizadas por Internet Explorer. • http://lists.fedoraproject.org/pipermail/package-announce/2013-December/122998.html http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123011.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html http://secunia.com/advisories/57472 http://www.debian.org/security/2014/dsa-2891 http://www.securityfocus.com/bid/63761 https://bugzilla.wikimedia.org/attachment.cgi?id=13452&action=diff https://bugzilla.wikimedia.org/show_bug.cgi?id=55332 •
CVSS: 4.3EPSS: 0%CPEs: 20EXPL: 0CVE-2013-4573
https://notcve.org/view.php?id=CVE-2013-4573
Cross-site scripting (XSS) vulnerability in the ZeroRatedMobileAccess extension for MediaWiki 1.19.x before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3 allows remote attackers to inject arbitrary web script or HTML via the "to" parameter to index.php. Vulnerabilidad de XSS en la extensión ZeroRatedMobileAccess para MediaWiki 1.19.x anterior a la versión 1.19.9, 1.20.x anterior a 1.20.8, y 1.21.x anterior a la versión 1.21.3 permite a atacantes remotos inyectar script web o HTML arbitrario a través del parámetro "to" hacia index.php. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html http://secunia.com/advisories/55754 https://bugzilla.wikimedia.org/show_bug.cgi?id=55991 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 2%CPEs: 21EXPL: 1CVE-2013-4304
https://notcve.org/view.php?id=CVE-2013-4304
The CentralAuth extension for MediaWiki 1.19.x before 1.19.8, 1.20.x before 1.20.7, and 1.21.x before 1.21.2 caches a valid CentralAuthUser object in the centralauth_User cookie even when a user has not successfully logged in, which allows remote attackers to bypass authentication without a password. La extensión de MediaWiki CentralAuth 1.19.x anterior a 1.19.8, 1.20.7 anterior a 1.20.x y 1.21.x anterior 1.21.2 almacena en caché un objeto CentralAuthUser válida en la cookie centralauth_User incluso cuando el usuario no ha iniciado la sesión correctamente, lo que permite atacantes remotos evitar la autenticación sin contraseña. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-September/000133.html http://osvdb.org/96910 http://seclists.org/oss-sec/2013/q3/553 http://secunia.com/advisories/54723 https://bugzilla.wikimedia.org/show_bug.cgi?id=52338 https://exchange.xforce.ibmcloud.com/vulnerabilities/86894 • CWE-287: Improper Authentication •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2013-4305
https://notcve.org/view.php?id=CVE-2013-4305
Cross-site scripting (XSS) vulnerability in contrib/example.php in the SyntaxHighlight GeSHi extension for MediaWiki, possibly as downloaded before September 2013, allows remote attackers to inject arbitrary web script or HTML via the PATH_INFO. Vulnerabilidad de XSS en contrib/example.php de la extensión SyntaxHighlight GeSHi para MediaWiki, posiblemente la descargada antes de septiembre de 2013, permite a atacantes remotos inyectar script web arbitrario o HTML a través de PATH_INFO. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-September/000133.html http://osvdb.org/96909 http://seclists.org/oss-sec/2013/q3/553 https://bugzilla.wikimedia.org/show_bug.cgi?id=49070 https://exchange.xforce.ibmcloud.com/vulnerabilities/86890 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 0CVE-2013-4306
https://notcve.org/view.php?id=CVE-2013-4306
Cross-site request forgery (CSRF) vulnerability in api/ApiQueryCheckUser.php in the CheckUser extension for MediaWiki, possibly Checkuser before 2.3, allows remote attackers to hijack the authentication of arbitrary users for requests that "perform sensitive write actions" via unspecified vectors. Vulnerabilidad cross-site request forgery (CSRF) en api/ApiQueryCheckUser.php en la extensión CheckUser para MediaWiki, posiblemente CheckUser anteriores a 2.3, permite a atacantes remotos secuestrar la autenticación de usuarios de forma arbitraria para peticiones que "realizan acciones de escritura sensibles" a través de vectores no especificados. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-September/000133.html http://osvdb.org/96908 http://seclists.org/oss-sec/2013/q3/553 http://www.securityfocus.com/bid/62210 https://bugzilla.wikimedia.org/show_bug.cgi?id=45019 https://exchange.xforce.ibmcloud.com/vulnerabilities/86893 https://git.wikimedia.org/commit/mediawiki%2Fextensions%2FCheckUser.git/99ad25d066ce6111e798427cba7f21526827f651 • CWE-352: Cross-Site Request Forgery (CSRF) •