NotCVE - vendor:"Mediawiki" product:"Mediawiki" version:" <= 1.35.0"

Page 50 of 359 results (0.007 seconds)

CVSS: 5.0EPSS: 0%CPEs: 46EXPL: 1

CVE-2014-9476

https://notcve.org/view.php?id=CVE-2014-9476

MediaWiki 1.2x before 1.22.15, 1.23.x before 1.23.8, and 1.24.x before 1.24.1 allows remote attackers to bypass CORS restrictions in $wgCrossSiteAJAXdomains via a domain that has a partial match to an allowed origin, as demonstrated by "http://en.wikipedia.org.evilsite.example/." MediaWiki 1.2x anterior a 1.22.15, 1.23.x anterior a 1.23.8, y 1.24.x anterior a 1.24.1 permite a atacantes remotos evadir las restricciones CORS en $wgCrossSiteAJAXdomains a través de un dominio que tiene una coincidencia parcial con un origen permitido, tal y como fue demostrado por 'http://en.wikipedia.org.evilsite.example/.' • http://www.mandriva.com/security/advisories?name=MDVSA-2015:006 http://www.openwall.com/lists/oss-security/2014/12/21/2 http://www.openwall.com/lists/oss-security/2015/01/03/13 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-December/000173.html https://phabricator.wikimedia.org/T77028 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 2.6EPSS: 0%CPEs: 42EXPL: 0

CVE-2014-9507

https://notcve.org/view.php?id=CVE-2014-9507

MediaWiki 1.21.x, 1.22.x before 1.22.14, and 1.23.x before 1.23.7, when $wgContentHandlerUseDB is enabled, allows remote attackers to conduct cross-site scripting (XSS) attacks by setting the content model for a revision to JS. MediaWiki versiones 1.21.x, versiones 1.22.x anteriores a 1.22.14, y versiones 1.23.x anteriores a 1.23.7, cuando $wgContentHandlerUseDB está habilitado, permite a los atacantes remotos conducir ataques de tipo cross-site-scripting (XSS) mediante el ajuste del modelo de contenido para una revisión en JS. • https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-November/000170.html https://phabricator.wikimedia.org/T72901 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.1EPSS: 0%CPEs: 42EXPL: 0

CVE-2014-9276

https://notcve.org/view.php?id=CVE-2014-9276

Cross-site request forgery (CSRF) vulnerability in the Special:ExpandedTemplates page in MediaWiki before 1.19.22, 1.20.x through 1.22.x before 1.22.14, and 1.23.x before 1.23.7, when $wgRawHTML is set to true, allows remote attackers to hijack the authentication of users with edit permissions for requests that cross-site scripting (XSS) attacks via the wpInput parameter, which is not properly handled in the preview. Vulnerabilidad de CSRF en la página Special:ExpandedTemplates en MediaWiki anterior a 1.19.22, 1.20.x hasta 1.22.xanterior a 1.22.14, y 1.23.x anterior a 1.23.7, cuando $wgRawHTML está configurado a verdadero, permite a atacantes remotos secuestrar la autenticación de usuarios con permisos para editar para solicitudes que realizan ataques de XSS a través del parámetro wpInput, lo que no se maneja correctamente en la previsualización. • http://securitytracker.com/id?1031301 http://www.openwall.com/lists/oss-security/2014/12/03/9 http://www.openwall.com/lists/oss-security/2014/12/04/16 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-November/000170.html https://phabricator.wikimedia.org/T73111 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 7.5EPSS: 3%CPEs: 42EXPL: 1

CVE-2014-9277

https://notcve.org/view.php?id=CVE-2014-9277

The wfMangleFlashPolicy function in OutputHandler.php in MediaWiki before 1.19.22, 1.20.x through 1.22.x before 1.22.14, and 1.23.x before 1.23.7 allows remote attackers to conduct PHP object injection attacks via a crafted string containing <cross-domain-policy> in a PHP format request, which causes the string length to change when converting the request to <NOT-cross-domain-policy>. La función wfMangleFlashPolicy en OutputHandler.php en MediaWiki anterior a 1.19.22, 1.20.x hasta 1.22.x anterior a 1.22.14, y 1.23.x anterior a 1.23.7 permite a atacantes remotos realizar ataques de inyección de objetos PHP a través de una cadena manipulada que contiene en una solicitud de formatos PHP, lo que causa que la longitud de la cadena cambia cuando se convierte la solicitud a . • http://securitytracker.com/id?1031301 http://www.debian.org/security/2014/dsa-3100 http://www.openwall.com/lists/oss-security/2014/12/03/9 http://www.openwall.com/lists/oss-security/2014/12/04/16 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-November/000170.html https://phabricator.wikimedia.org/T73478 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •

CVSS: 3.5EPSS: 0%CPEs: 40EXPL: 0

CVE-2014-7295

https://notcve.org/view.php?id=CVE-2014-7295

The (1) Special:Preferences and (2) Special:UserLogin pages in MediaWiki before 1.19.20, 1.22.x before 1.22.12 and 1.23.x before 1.23.5 allows remote authenticated users to conduct cross-site scripting (XSS) attacks or have unspecified other impact via crafted CSS, as demonstrated by modifying MediaWiki:Common.css. Las páginas (1) Special:Preferences y (2) Special:UserLogin en MediaWiki anterior a 1.19.20, 1.22.x anterior a 1.22.12 y 1.23.x anterior a 1.23.5 permite a usuarios remotos autenticados realizar atauqes de XSS o tener otro impacto no especificado a través de CSSs manipulado, tal y como fue demostrado mediante la modificación de MediaWiki:Common.css. • http://seclists.org/oss-sec/2014/q4/67 http://secunia.com/advisories/61752 http://www.debian.org/security/2014/dsa-3046 http://www.securityfocus.com/bid/70238 https://bugzilla.wikimedia.org/show_bug.cgi?id=70672 https://lists.wikimedia.org/pipermail/mediawiki-announce/2014-October/000163.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

1...48 49 50 51 52