Grunny

Pesquisador deWikimedia Communities
#9764de 53,635
28.3CVSS total
Vulnerabilidades · 5
Média
4
Alta
1
PT-2021-3353
6.1
2021-04-06
Mediawiki · Mediawiki · CVE-2021-30157
**Nome do software vulnerável e versões afetadas** Versões 1.31.12 e anteriores do MediaWiki Versões 1.32.x a 1.35.x do MediaWiki, anteriores à 1.35.2 **Descrição** A vulnerabilidade existe devido à falta de proteção na estrutura da página da web, permitindo que um invasor remoto realize ataques de script entre sites (XSS). Nas páginas especiais da Lista de Alterações, como Special:RecentChanges e Special:Watchlist, algumas mensagens de rótulo são exibidas em HTML sem escape, levando a XSS. **Recomendações** Para as versões 1.31.12 e anteriores do MediaWiki, atualize para a versão 1.31.12 ou posterior. Para as versões 1.32.x a 1.35.x do MediaWiki anteriores à 1.35.2, atualize para a versão 1.35.2 ou posterior. Como solução temporária, considere restringir o acesso às páginas especiais da Lista de Alterações, como Special:RecentChanges e Special:Watchlist, até que um patch esteja disponível.
PT-2021-3354
6.1
2021-04-06
Mediawiki · Mediawiki · CVE-2021-30154
**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.31.12 Versões do MediaWiki 1.32.x a 1.35.x, exceto a 1.35.2 **Descrição** Uma falha no MediaWiki leva a um ataque XSS devido à saída de mensagens mediastatistics-header-* em HTML sem escape na página Special:NewFiles. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade e a integridade de informações protegidas. **Recomendações** Para versões do MediaWiki anteriores à 1.31.12, atualize para a versão 1.31.12 ou posterior. Para versões do MediaWiki 1.32.x a 1.35.x anteriores à 1.35.2, atualize para a versão 1.35.2 ou posterior. Como solução temporária, considere restringir o acesso à página Special:NewFiles até que um patch esteja disponível.
PT-2015-7705
4.3
2015-11-09
Wikimedia · Mediawiki · CVE-2015-8006
**Name of the Vulnerable Software and Affected Versions** MediaWiki PageTriage extension (affected versions not specified) **Description** A cross-site scripting (XSS) issue exists in the PageTriage toolbar of the PageTriage extension for MediaWiki. This allows remote attackers to inject arbitrary web script or HTML via the page title. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.
PT-2015-7318
7.5
2015-09-01
Wikimedia · Mediawiki · CVE-2015-6728
**Name of the Vulnerable Software and Affected Versions** MediaWiki versions prior to 1.23.10 MediaWiki versions 1.24.x prior to 1.24.3 MediaWiki versions 1.25.x prior to 1.25.2 **Description** The issue concerns the `ApiBase::getWatchlistUser` function, which does not perform token comparison in constant time. This allows remote attackers to guess the watchlist token via a timing attack, effectively bypassing CSRF protection. **Recommendations** For MediaWiki versions prior to 1.23.10, update to version 1.23.10 or later. For MediaWiki versions 1.24.x prior to 1.24.3, update to version 1.24.3 or later. For MediaWiki versions 1.25.x prior to 1.25.2, update to version 1.25.2 or later.
PT-2015-7321
4.3
2015-09-01
Mediawiki · Mediawiki Semanticforms Extension · CVE-2015-6731
**Name of the Vulnerable Software and Affected Versions** MediaWiki SemanticForms extension (affected versions not specified) **Description** The issue concerns multiple cross-site scripting (XSS) vulnerabilities. These vulnerabilities allow remote attackers to inject arbitrary web script or HTML. The injection can occur via several parameters, including `section *`, `template *`, `label *`, or `new template` parameters to "Special:CreateForm", or `target` or `alt form` parameters to "Special:FormEdit". **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.