CVE-2008-5250
https://notcve.org/view.php?id=CVE-2008-5250
Cross-site scripting (XSS) vulnerability in MediaWiki before 1.6.11, 1.12.x before 1.12.2, and 1.13.x before 1.13.3, when Internet Explorer is used and uploads are enabled, or an SVG scripting browser is used and SVG uploads are enabled, allows remote authenticated users to inject arbitrary web script or HTML by editing a wiki page. Una vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en versiones de MediaWiki anteriores a 1.6.11, 1.12.x anteriores a 1.12.2, y 1.13.3 anteriores a 1.13.x, cuando se esta usando Internet Explorer y las subidas están habilitadas, o bien cuando un navegador que permita secuencias de comandos SVG se este usando y las subidas SVG estén habilitadas, permite a usuarios remotos autenticados inyectar HTML o secuencias de comandos web arbitrarias durante la edición de una página del wiki. • http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.html http://secunia.com/advisories/33133 http://secunia.com/advisories/33349 http://www.debian.org/security/2009/dsa-1901 http://www.securityfocus.com/bid/32844 https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01256.html https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01309.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-0460
https://notcve.org/view.php?id=CVE-2008-0460
Cross-site scripting (XSS) vulnerability in api.php in (1) MediaWiki 1.11 through 1.11.0rc1, 1.10 through 1.10.2, 1.9 through 1.9.4, and 1.8; and (2) the BotQuery extension for MediaWiki 1.7 and earlier; when Internet Explorer is used, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el fichero api.php de (1)MediaWiki 1.11 hasta 1.11.0rc1, 1.10 hasta 1.10.2, 1.9 hasta 1.9.4, y 1.8; y de (2) la extensión BotQuery para MediaWiki 1.7 y anteriores; cuando se está usando Internet Explorer, permite a atacantes remotos inyectar, a su elección, código web o HTML a través de vectores sin especificar. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-January/000068.html http://secunia.com/advisories/28629 http://secunia.com/advisories/29266 http://www.securityfocus.com/bid/28137 http://www.vupen.com/english/advisories/2008/0280 https://exchange.xforce.ibmcloud.com/vulnerabilities/39901 https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00147.html https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00189.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2007-4828
https://notcve.org/view.php?id=CVE-2007-4828
Cross-site scripting (XSS) vulnerability in the API pretty-printing mode in MediaWiki 1.8.0 through 1.8.4, 1.9.0 through 1.9.3, 1.10.0 through 1.10.1, and the 1.11 development versions before 1.11.0 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el modo de presentación legible para humanos (pretty-printing) de la API de MediaWiki 1.8.0 hasta 1.8.4, 1.9.0 hasta 1.9.3, 1.10.0 hasta 1.10.1, y las versiones de desarrollo hasta la 1.11.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de vectores no especificados. • http://fedoranews.org/updates/FEDORA-2007-218.shtml http://lists.wikimedia.org/pipermail/mediawiki-announce/2007-September/000067.html http://secunia.com/advisories/26772 http://secunia.com/advisories/26870 http://www.securityfocus.com/bid/25632 http://www.vupen.com/english/advisories/2007/3130 https://bugzilla.redhat.com/show_bug.cgi?id=287881 https://exchange.xforce.ibmcloud.com/vulnerabilities/36558 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2007-1054
https://notcve.org/view.php?id=CVE-2007-1054
Cross-site scripting (XSS) vulnerability in the AJAX features in index.php in MediaWiki 1.6.x through 1.9.2, when $wgUseAjax is enabled, allows remote attackers to inject arbitrary web script or HTML via a UTF-7 encoded value of the rs parameter, which is processed by Internet Explorer. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en las características AJAX en idex.php de MediaWiki 1.6.x hasta 1.9.2, cuando $wgUseAjax está habilitado, permite a atacantes remotos inyectar scripts web o HTML de su elección mediante un valor codificado UTF-7 del parámetro rs, que es procesado por Internet Explorer. • http://attrition.org/pipermail/vim/2007-February/001367.html http://osvdb.org/32078 http://secunia.com/advisories/24211 http://securityreason.com/securityalert/2274 http://sourceforge.net/project/shownotes.php?release_id=487921&group_id=34373 http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_9_3/phase3/RELEASE-NOTES http://www.bugsec.com/articles.php?Security=24 http://www.securityfocus.com/archive/1/460596/100/0/threaded http://www.vupen.com/english/advisories/2007/0678 https •
CVE-2007-1055
https://notcve.org/view.php?id=CVE-2007-1055
Cross-site scripting (XSS) vulnerability in the AJAX features in index.php in MediaWiki 1.9.x before 1.9.0rc2, and 1.8.2 and earlier allows remote attackers to inject arbitrary web script or HTML via the rs parameter. NOTE: this issue might be a duplicate of CVE-2007-0177. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en la característica AJAX del index.php en el MediaWiki 1.9.x anterior a al 1.9.0rc2, y el 1.8.2 y versiones anteriores, permite a atacantes remotos la inyección de secuencias de comandos web o HTML de su elección mediante el parámetro rs. NOTA: Esta vulnerabilidad puede estar duplicada con la CVE-2007-0177. • http://osvdb.org/37343 http://securityreason.com/securityalert/2274 http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_9_0/phase3/RELEASE-NOTES http://www.bugsec.com/articles.php?Security=24 http://www.securityfocus.com/archive/1/460596/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/32586 • CWE-94: Improper Control of Generation of Code ('Code Injection') •