Page 59 of 331 results (0.012 seconds)

CVSS: 6.0EPSS: 0%CPEs: 64EXPL: 1

MediaWiki before 1.15.3, and 1.6.x before 1.16.0beta2, does not properly handle a correctly authenticated but unintended login attempt, which makes it easier for remote authenticated users to conduct phishing attacks by arranging for a victim to login to the attacker's account and then execute a crafted user script, related to a "login CSRF" issue. MediaWiki en versiones anteriores a la v1.15.3, y v1.6.x anteriores a la v1.16.0beta2, no gestiona apropiadamente un intento de inicio de sesión correctamente autenticado pero no deseado, lo que facilita a usuarios remotos autenticados realizar ataques de phishing arreglándoselas para que una víctima inicie sesión en la cuenta del atacante y luego ejecute un script de usuario modificado. Relacionada con el tipo de vulneravidad inicio de sesión CSRF. • http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.3.patch.gz http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0beta2.patch.gz http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-April/000090.html http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_15_3/phase3/RELEASE-NOTES http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_16_0beta2/phase3/RELEASE-NOTES http://www.debian.org/security/2010/dsa-2041 http://www.openwall.com/lists/oss-security/2010/04& • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 5.0EPSS: 0%CPEs: 92EXPL: 0

MediaWiki before 1.15.2 does not prevent wiki editors from linking to images from other web sites in wiki pages, which allows editors to obtain IP addresses and other information of wiki users by adding a link to an image on an attacker-controlled web site, aka "CSS validation issue." MediaWiki en versiones anteriores a la 1.15.2 no impide a los editores de wiki enlazar a imagenes de otros sitios web en las páginas del wiki, lo que permite a los editores obtener direcciones IP y otra información de los usuarios del wiki añadiendo un enlace a una imagen situada en un sitio web controlado por el atacante, también conocido como "CSS validation issue." • http://lists.opensuse.org/opensuse-security-announce/2010-04/msg00006.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-March/000088.html http://secunia.com/advisories/39022 http://secunia.com/advisories/39656 http://www.debian.org/security/2010/dsa-2022 http://www.vupen.com/english/advisories/2010/0685 http://www.vupen.com/english/advisories/2010/1001 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 92EXPL: 0

thumb.php in MediaWiki before 1.15.2, when used with access-restriction mechanisms such as img_auth.php, does not check user permissions before providing scaled images, which allows remote attackers to bypass intended access restrictions and read private images via unspecified manipulations. thumb.php en MediaWiki en versiones anteriores a la 1.15.2, cuando es usado con mecanismos de restricción de acceso como en img_auth.php, no verifica los permisos del usuario antes de proporcionar imágenes a escala, lo que permite a atacantes remotos eludir restricciones de acceso establecidas y leer imágenes privadas a través de manipulaciones no especificadas. • http://lists.opensuse.org/opensuse-security-announce/2010-04/msg00006.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-March/000088.html http://secunia.com/advisories/39022 http://secunia.com/advisories/39656 http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_15_2/phase3/RELEASE-NOTES http://www.debian.org/security/2010/dsa-2022 http://www.vupen.com/english/advisories/2010/0685 http://www.vupen.com/english/advisories/2010/1001 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1

Cross-site scripting (XSS) vulnerability in the Special:Block implementation in the getContribsLink function in SpecialBlockip.php in MediaWiki 1.14.0 and 1.15.0 allows remote attackers to inject arbitrary web script or HTML via the ip parameter. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en la implementación Special:Block en la función getContribsLink en SpecialBlockip.php en MediaWiki v1.14.0 y v1.15.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del parámetro "ip". • http://lists.wikimedia.org/pipermail/mediawiki-announce/2009-July/000087.html http://osvdb.org/55824 http://secunia.com/advisories/35818 http://www.securityfocus.com/bid/35662 http://www.vupen.com/english/advisories/2009/1882 https://bugzilla.wikimedia.org/show_bug.cgi?id=19693 https://exchange.xforce.ibmcloud.com/vulnerabilities/51687 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 2.6EPSS: 0%CPEs: 23EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in the web-based installer (config/index.php) in MediaWiki 1.6 before 1.6.12, 1.12 before 1.12.4, and 1.13 before 1.13.4, when the installer is in active use, allow remote attackers to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados - XSS - en el instalador basado en web (config/index.php) en MediaWiki v1.6 anteriores a v1.6.12, v1.12 anteriores a v1.12.4, y v1.13 anteriores a v1.13.4, cuando el instalador está activo, permite a los atacantes remotos inyectar arbitrariamente una secuencia de comandos web o HTML a través de vectores no especificados. • http://lists.wikimedia.org/pipermail/mediawiki-announce/2009-February/000083.html http://secunia.com/advisories/33881 http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_12_4/phase3/RELEASE-NOTES http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_13_4/phase3/RELEASE-NOTES http://svn.wikimedia.org/svnroot/mediawiki/tags/REL1_6_12/phase3/RELEASE-NOTES http://www.debian.org/security/2009/dsa-1901 http://www.securityfocus.com/bid/33681 http://www.vupen.com/english/advisories/2009/ • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •