Suffusion_Of_Yellow

#6182de 53,633

44CVSS total

Vulnerabilidades · 7

Média

5

Alta

1

Crítica

1

Mediawiki · Mediawiki · CVE-2023-29141

**Name of the Vulnerable Software and Affected Versions** MediaWiki versions prior to 1.35.10 MediaWiki versions 1.36.x through 1.38.x before 1.38.6 MediaWiki versions 1.39.x before 1.39.3 **Description** An issue was discovered in MediaWiki where an auto-block can occur for an untrusted `X-Forwarded-For` header. **Recommendations** For MediaWiki versions prior to 1.35.10, update to version 1.35.10 or later. For MediaWiki versions 1.36.x through 1.38.x before 1.38.6, update to version 1.38.6 or later. For MediaWiki versions 1.39.x before 1.39.3, update to version 1.39.3 or later.

Mediawiki · Mediawiki · CVE-2021-42045

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.36.2 **Descrição** Foi descoberta uma falha no SecurePoll da extensão Growth, na qual enquetes simples permitem que usuários criem alertas alterando seu cabeçalho HTTP `User-Agent` e enviando um voto. **Recomendações** Para versões até a 1.36.2, atualize para uma versão que contenha uma correção para essa falha, a fim de impedir que usuários criem alertas manipulando o cabeçalho `User-Agent`.

Mediawiki · Mediawiki · CVE-2021-31545

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.35.2 Extensão AbuseFilter para versões do MediaWiki até a 1.35.2 **Descrição** Uma falha na extensão AbuseFilter para o MediaWiki permite que a página `page recent contributors` revele a existência de certos nomes de usuário do MediaWiki excluídos, relacionados à `rev deleted`. **Recomendações** Para versões do MediaWiki até a 1.35.2, atualize para uma versão que contenha uma correção para este problema. Para a extensão AbuseFilter para versões do MediaWiki até a 1.35.2, atualize para uma versão que contenha uma correção para este problema.

Mediawiki · Mediawiki · CVE-2021-31547

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki até a 1.35.2 Extensão AbuseFilter para MediaWiki até a versão 1.35.2 **Descrição** Uma falha na extensão AbuseFilter para MediaWiki revela edições ocultas e nomes de usuário a usuários sem privilégios por meio da iteração de regras AbuseFilter maliciosas, especificamente através da API AbuseFilterCheckMatch. **Recomendações** Para versões do MediaWiki até a 1.35.2, atualize para uma versão que contenha uma correção para esta falha. Para a extensão AbuseFilter, considere desativar temporariamente a API AbuseFilterCheckMatch até que um patch esteja disponível.

Oathauth · Oathauth · CVE-2020-25827

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.31.10 Versões do MediaWiki 1.32.x a 1.34.x, exceto a 1.34.4 **Descrição** O problema está relacionado à restrição insuficiente das tentativas de autenticação na extensão OATHAuth para o MediaWiki. Isso pode ser explorado por um invasor remoto para contornar restrições de segurança usando um ataque de força bruta. Para wikis que utilizam o OATHAuth em um farm ou cluster, como por meio do CentralAuth, a limitação de taxa dos tokens OATH é feita apenas no nível de um único site, permitindo que múltiplas solicitações sejam feitas em muitos wikis ou sites simultaneamente. **Recomendações** Para versões do MediaWiki anteriores à 1.31.10, atualize para a versão 1.31.10 ou posterior. Para versões do MediaWiki 1.32.x a 1.34.x, atualize para a versão 1.34.4 ou posterior. Como solução temporária, considere implementar medidas adicionais de limitação de taxa para tokens OATH em todos os sites de um farm ou cluster para minimizar o risco de exploração.

Wikimedia · Mediawiki · CVE-2019-19910

**Name of the Vulnerable Software and Affected Versions** MediaWiki versions 1.34 through 1.35 **Description** The issue concerns the MinervaNeue Skin in MediaWiki, where it mishandles certain HTML attributes. This can lead to XSS when using `onmouseover` within an `IMG` tag, and it can also disclose the client's IP address when using `src=http` within an `IMG` tag. This issue can occur within a talk page topical header viewed in a mobile context using MobileFrontend. **Recommendations** For versions 1.34 through 1.35, update to a version that fixes the handling of HTML attributes in the MinervaNeue Skin to prevent XSS and IP address disclosure.

Mediawiki · Mediawiki Abusefilter Extension · CVE-2019-18987

**Name of the Vulnerable Software and Affected Versions** MediaWiki AbuseFilter extension versions through 1.34 **Description** An issue in the AbuseFilter extension can expose previous versions of a specific abuse filter once it has been made public, potentially disclosing private or sensitive information within the filter's definition. **Recommendations** For versions through 1.34, consider restricting access to abuse filter definitions to minimize the risk of sensitive information disclosure until a fix is available.