Moin
Уязвимости
37
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.83865
Распределение по критичности
Критический
1
Высокий
4
Средний
30
Низкий
2
Также сопоставлено как (исходные строки): moin
Топ уязвимостей
CVE-2020-25074Действие cache в action/cache.py в MoinMoin до версии 1.9.10 допускает обход каталогов через специально созданный HTTP-запрос. Злоумышленник, который может загружать вложения в вики, может использовать это для достижения удаленного выполнения кода.
CVE-2010-0717Конфигурация по умолчанию cfg.packagepages_actions_excluded в MoinMoin до 1.8.7 не предотвращает небезопасные действия с пакетами, что имеет неуказанное воздействие и векторы атак.
CVE-2010-0669MoinMoin до 1.8.7 и 1.9.x до 1.9.2 неправильно обрабатывает профили пользователей, что имеет неуказанные последствия и векторы атак.
CVE-2009-4762MoinMoin 1.7.x до 1.7.3 и 1.8.x до 1.8.3 проверяет родительские ACL при определенных неподходящих обстоятельствах во время обработки иерархических ACL, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения доступа, что является другой уязвимостью, чем CVE-2008-6603.
CVE-2009-2265Множественные уязвимости обхода каталогов в FCKeditor до версии 2.6.4.1 позволяют удаленным злоумышленникам создавать исполняемые файлы в произвольных каталогах через последовательности обхода каталогов во входных данных для неуказанных модулей соединителя, как это было использовано в реальных условиях для удаленного выполнения кода в июле 2009 года, связанного с файловым браузером и каталогом editor/filemanager/connectors/.
CVE-2010-0668Неуказанная уязвимость в MoinMoin 1.5.x - 1.7.x, 1.8.x до 1.8.7 и 1.9.x до 1.9.2 имеет неизвестные последствия и векторы атак, связанные с конфигурациями, которые имеют непустой список суперпользователей, включенное действие xmlrpc, включенное действие SyncPages или настроенный OpenID.
CVE-2008-6603MoinMoin 1.6.2 и 1.7 неправильно применяет проверки ACL, когда acl_hierarchic установлено значение True, что может позволить удаленным злоумышленникам обходить предполагаемые ограничения доступа, что является иной уязвимостью, чем CVE-2008-1937.
CVE-2008-1937Обработка пользовательской формы (userform.py) в MoinMoin до версии 1.6.3, при использовании ACL или непустого списка суперпользователей, неправильно управляет пользователями, что позволяет удаленным злоумышленникам получить привилегии.
CVE-2012-6080Уязвимость обхода каталогов в функции _do_attachment_move в действии AttachFile (action/AttachFile.py) в MoinMoin 1.9.3 до 1.9.5 позволяет удаленным злоумышленникам перезаписывать произвольные файлы через .. (dot dot) в имени файла.
CVE-2017-5934Уязвимость межсайтового скриптинга (XSS) в диалоге ссылок в редакторе GUI в MoinMoin версий до 1.9.10 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через не указанные векторы.
CVE-2016-9119Уязвимость межсайтового скриптинга (XSS) в диалоговом окне ссылок в редакторе GUI в MoinMoin до 1.9.8 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2016-7148MoinMoin 1.9.8 позволяет удаленным злоумышленникам проводить атаки "JavaScript injection", используя подход "создание страницы", связанный с проблемой "Cross Site Scripting (XSS)", затрагивающей компонент action=AttachFile (через имя страницы).
CVE-2016-7146MoinMoin 1.9.8 позволяет удаленным злоумышленникам проводить атаки "JavaScript injection", используя подход "создание страницы или специально созданный URL-адрес", связанный с проблемой "Cross Site Scripting (XSS)", затрагивающей компонент action=fckdialog\u0026dialog=attachment (через имя страницы).
CVE-2012-6495Множественные уязвимости обхода каталогов в действиях (1) twikidraw (action/twikidraw.py) и (2) anywikidraw (action/anywikidraw.py) в MoinMoin до версии 1.9.6 позволяют удаленным аутентифицированным пользователям с правами записи перезаписывать произвольные файлы через неуказанные векторы. ПРИМЕЧАНИЕ: это можно использовать с CVE-2012-6081 для выполнения произвольного кода.
CVE-2012-6081Множественные уязвимости неограниченной загрузки файлов в действиях (1) twikidraw (action/twikidraw.py) и (2) anywikidraw (action/anywikidraw.py) в MoinMoin до версии 1.9.6 позволяют удаленным аутентифицированным пользователям с правами записи выполнять произвольный код, загрузив файл с исполняемым расширением, а затем получив к нему доступ через прямой запрос к файлу в неуказанном каталоге, как это использовалось в дикой природе в июле 2012 года.
CVE-2012-4404security/__init__.py в MoinMoin 1.9 до 1.9.4 неправильно обрабатывает имена групп, содержащие имена виртуальных групп, такие как «All», «Known» или «Trusted», что позволяет удаленным аутентифицированным пользователям с членством в виртуальной группе рассматриваться как член группы.
CVE-2010-0828Уязвимость межсайтового скриптинга (XSS) в action/Despam.py в модуле действий Despam в MoinMoin 1.8.7 и 1.9.2 позволяет удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML, создавая страницу со специально созданным URI.
CVE-2020-15275MoinMoin - это вики-движок. В MoinMoin до версии 1.9.11 злоумышленник с правами записи может загрузить SVG-файл, содержащий вредоносный JavaScript. Этот JavaScript будет выполнен в браузере пользователя, когда пользователь просматривает этот SVG-файл в вики. Пользователям настоятельно рекомендуется обновиться до исправленной версии. MoinMoin Wiki 1.9.11 содержит необходимые исправления, а также другие важные исправления.
CVE-2010-1238MoinMoin 1.7.1 позволяет удаленным злоумышленникам обходить механизм защиты textcha, изменяя поля textcha-question и textcha-answer, чтобы они имели пустые значения.
CVE-2008-6549Функция password_checker в config/multiconfig.py в MoinMoin 1.6.1 использует функции cracklib и python-crack, даже если они не являются потокобезопасными, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (ошибка сегментации и сбой) через неизвестные векторы.
CVE-2008-6548Парсер rst (parser/text_rst.py) в MoinMoin 1.6.1 не проверяет ACL включенной страницы, что позволяет злоумышленникам читать несанкционированные файлы включения через неизвестные векторы.
CVE-2008-1099Функция _macro_Getval в wikimacro.py в MoinMoin 1.5.8 и более ранних версиях неправильно применяет ACL, что позволяет удаленным злоумышленникам читать защищенные страницы.
CVE-2008-0782Уязвимость обхода каталогов в MoinMoin 1.5.8 и более ранних версиях позволяет удаленным злоумышленникам перезаписывать произвольные файлы через .. (dot dot) в MOIN_ID user ID в файле cookie для действия userform. ПРИМЕЧАНИЕ: эта проблема может быть использована для выполнения кода PHP через параметр quicklinks.
CVE-2012-6082Уязвимость cross-site scripting (XSS) в функции rsslink в theme/__init__.py в MoinMoin 1.9.5 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через имя страницы в rss-ссылке.
CVE-2010-2970Множественные уязвимости межсайтового скриптинга (XSS) в MoinMoin 1.9.x до 1.9.3 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный контент, связанный с (1) action/SlideShow.py, (2) action/anywikidraw.py и (3) action/language_setup.py, что является аналогичной проблемой CVE-2010-2487.