Page 54 of 274 results (0.015 seconds)

CVSS: 5.0EPSS: 0%CPEs: 92EXPL: 0

MediaWiki before 1.15.2 does not prevent wiki editors from linking to images from other web sites in wiki pages, which allows editors to obtain IP addresses and other information of wiki users by adding a link to an image on an attacker-controlled web site, aka "CSS validation issue." MediaWiki en versiones anteriores a la 1.15.2 no impide a los editores de wiki enlazar a imagenes de otros sitios web en las páginas del wiki, lo que permite a los editores obtener direcciones IP y otra información de los usuarios del wiki añadiendo un enlace a una imagen situada en un sitio web controlado por el atacante, también conocido como "CSS validation issue." • http://lists.opensuse.org/opensuse-security-announce/2010-04/msg00006.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-March/000088.html http://secunia.com/advisories/39022 http://secunia.com/advisories/39656 http://www.debian.org/security/2010/dsa-2022 http://www.vupen.com/english/advisories/2010/0685 http://www.vupen.com/english/advisories/2010/1001 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 92EXPL: 0

thumb.php in MediaWiki before 1.15.2, when used with access-restriction mechanisms such as img_auth.php, does not check user permissions before providing scaled images, which allows remote attackers to bypass intended access restrictions and read private images via unspecified manipulations. thumb.php en MediaWiki en versiones anteriores a la 1.15.2, cuando es usado con mecanismos de restricción de acceso como en img_auth.php, no verifica los permisos del usuario antes de proporcionar imágenes a escala, lo que permite a atacantes remotos eludir restricciones de acceso establecidas y leer imágenes privadas a través de manipulaciones no especificadas. • http://lists.opensuse.org/opensuse-security-announce/2010-04/msg00006.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-March/000088.html http://secunia.com/advisories/39022 http://secunia.com/advisories/39656 http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_15_2/phase3/RELEASE-NOTES http://www.debian.org/security/2010/dsa-2022 http://www.vupen.com/english/advisories/2010/0685 http://www.vupen.com/english/advisories/2010/1001 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 2.6EPSS: 0%CPEs: 23EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in the web-based installer (config/index.php) in MediaWiki 1.6 before 1.6.12, 1.12 before 1.12.4, and 1.13 before 1.13.4, when the installer is in active use, allow remote attackers to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados - XSS - en el instalador basado en web (config/index.php) en MediaWiki v1.6 anteriores a v1.6.12, v1.12 anteriores a v1.12.4, y v1.13 anteriores a v1.13.4, cuando el instalador está activo, permite a los atacantes remotos inyectar arbitrariamente una secuencia de comandos web o HTML a través de vectores no especificados. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2009-February/000083.html http://secunia.com/advisories/33881 http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_12_4/phase3/RELEASE-NOTES http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_13_4/phase3/RELEASE-NOTES http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_6_12/phase3/RELEASE-NOTES http://www.debian.org/security/2009/dsa-1901 http://www.securityfocus.com/bid/33681 http://www.vupen.com/english/advisories/2009/ • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.8EPSS: 0%CPEs: 54EXPL: 0

Cross-site request forgery (CSRF) vulnerability in the Special:Import feature in MediaWiki 1.3.0 through 1.6.10, 1.12.x before 1.12.2, and 1.13.x before 1.13.3 allows remote attackers to perform unspecified actions as authenticated users via unknown vectors. Una vulnerabilidad de falsificación de petición en sitios cruzados en la funcionalidad Special:Import en MediaWiki 1.3.0 a 1.6.10, 1.12.x antes de 1.12.2, y 1.13.3 antes de 1.13.x, permite a atacantes remotos llevar a cabo acciones no especificadas como usuarios autenticados a través de vectores desconocidos. • http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.html http://secunia.com/advisories/33133 http://secunia.com/advisories/33349 http://www.debian.org/security/2009/dsa-1901 https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01256.html https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01309.html • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.3EPSS: 0%CPEs: 33EXPL: 0

MediaWiki 1.8.1, and other versions before 1.13.3, when the wgShowExceptionDetails variable is enabled, sometimes provides the full installation path in a debugging message, which might allow remote attackers to obtain sensitive information via unspecified requests that trigger an uncaught exception. MediaWiki versión 1.8.1, y otras versiones anteriores a 1.13.3, cuando la variable wgShowExceptionDetails está habilitada, a veces proporciona el path de instalación completa en un mensaje de depuración, lo que podría permitir a los atacantes remotos conseguir información confidencial por medio de peticiones no especificadas que desencadenan una excepción no detectada. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.html http://secunia.com/advisories/33349 http://www.mediawiki.org/wiki/Manual:%24wgShowExceptionDetails https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01256.html https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01309.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •