Page 52 of 310 results (0.012 seconds)

CVSS: 5.8EPSS: 1%CPEs: 137EXPL: 0

includes/User.php in MediaWiki before 1.16.5, when wgBlockDisablesLogin is enabled, does not clear certain cached data after verification of an auth token fails, which allows remote attackers to bypass authentication by creating crafted wikiUserID and wikiUserName cookies, or by leveraging an unattended workstation. includes/User.php en MediaWiki anterior a v1.16.5, cuando wgBlockDisablesLogin es activado, no limpia ciertos datos de caché después de verificar un fallo de un token auth, lo que permite a atacantes remotos evitar la autenticación creando un wikiUserID manipulado y cookies wikiUserName, o mediante el aprovechamiento de una estación de trabajo sin vigilancia. • http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060435.html http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060496.html http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060507.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-May/000098.html http://secunia.com/advisories/44684 http://www.securityfocus.com/bid/47722 https://bugzilla.redhat.com/show_bug.cgi?id=702512 https://bugzilla.wikimedia.org/show_bug.cgi?id=28639 • CWE-287: Improper Authentication •

CVSS: 4.3EPSS: 0%CPEs: 141EXPL: 1

Cross-site scripting (XSS) vulnerability in MediaWiki before 1.16.5, when Internet Explorer 6 or earlier is used, allows remote attackers to inject arbitrary web script or HTML via an uploaded file accessed with a dangerous extension such as .shtml at the end of the query string, in conjunction with a modified URI path that has a %2E sequence in place of the . (dot) character. NOTE: this vulnerability exists because of an incomplete fix for CVE-2011-1578 and CVE-2011-1587. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en MediaWiki anterior a v1.16.5, cuando Internet Explorer 6 o anteriores es usado, permite a atacantes remotos inyectar código web script de su elección o HTML a través de un archivo cargado acceder con un extensión peligrosa como .shtml al final de la cadena de consulta, en conjunción con una ruta URI modificada que tiene una secuencia %2E en lugar de el caracter . (punto) NOTA: esta vulnerabilidad existe debido a un parche incompleto para CVE-2011-1578 y CVE-2011-1587. • http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060435.html http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060496.html http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060507.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-May/000098.html http://secunia.com/advisories/44684 http://www.securityfocus.com/bid/47722 https://bugzilla.redhat.com/show_bug.cgi?id=702512 https://bugzilla.wikimedia.org/show_bug.cgi?id=28534 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 139EXPL: 1

Cross-site scripting (XSS) vulnerability in MediaWiki before 1.16.3, when Internet Explorer 6 or earlier is used, allows remote attackers to inject arbitrary web script or HTML via an uploaded file accessed with a dangerous extension such as .html at the end of the query string, in conjunction with a modified URI path that has a %2E sequence in place of the . (dot) character. Ejecución de secuencias de comandos en sitios cruzados (XSS) en MediaWiki antes de 1.16.3, cuando Internet Explorer 6 o versiones anteriores se utiliza, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un archivo cargado acceder con una extensión peligrosas, como. html al final de la cadena de consulta, en relación con una modificación de ruta URI que tiene una secuencia 2E% en lugar del. (punto) carácter. • http://lists.fedoraproject.org/pipermail/package-announce/2011-April/058588.html http://lists.fedoraproject.org/pipermail/package-announce/2011-April/058910.html http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059232.html http://lists.fedoraproject.org/pipermail/package-announce/2011-April/059235.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000096.html http://openwall.com/lists/oss-security/2011/04/13/15 http://secunia.com/advisories/44142 http://www.d • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 140EXPL: 0

Cross-site scripting (XSS) vulnerability in MediaWiki before 1.16.4, when Internet Explorer 6 or earlier is used, allows remote attackers to inject arbitrary web script or HTML via an uploaded file accessed with a dangerous extension such as .html located before a ? (question mark) in a query string, in conjunction with a modified URI path that has a %2E sequence in place of the . (dot) character. NOTE: this vulnerability exists because of an incomplete fix for CVE-2011-1578. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en MediaWiki antes de v1.16.4, cuando se utiliza Internet Explorer v6 o versiones anteriores, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un archivo cargado; accediendo con una extensión peligrosa como .html que se encuentra antes de un ? • http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000097.html http://openwall.com/lists/oss-security/2011/04/18/5 http://www.debian.org/security/2011/dsa-2366 https://bugzilla.redhat.com/show_bug.cgi?id=696360 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0

PHP remote file inclusion vulnerability in MediaWikiParserTest.php in MediaWiki 1.16 beta, when register_globals is enabled, allows remote attackers to execute arbitrary PHP code via unspecified vectors. Vulnerabilidad de inclusión remota de archivo PHP en MediaWikiParserTest.php en MediaWiki v1.16 beta, cuando register_globals está activado, permite a atacantes remotos ejecutar código PHP de su elección a través de vectores no especificados. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-July/000092.html http://openwall.com/lists/oss-security/2010/07/29/4 • CWE-94: Improper Control of Generation of Code ('Code Injection') •