anchore_overrides,nvd
Mediawiki
Уязвимости
460
Эксплуатируемые
0
Критический
17
Высокий
69
Топ продуктов
Топ уязвимостей
CVE-2025-67484Уязвимость в Фонде Викимедиа MediaWiki. Эта уязвимость связана с программными файлами, включая/Api/ApiFormatXml.Php.
Этот вопрос затрагивает MediaWiki: от * до 1.39.16, 1.43.6, 1.44.3, 1.45.1.
CVE-2024-34502Обнаружена проблема в WikibaseLexeme в MediaWiki до версий 1.39.6, 1.40.x до 1.40.2 и 1.41.x до 1.41.1. Загрузка Special:MergeLexemes (попытается) внести изменение, которое объединяет from-id с to-id, даже если запрос не был POST-запросом, и даже если он не содержит токен редактирования.
CVE-2023-37303Обнаружена проблема в расширении CheckUser для MediaWiki до версии 1.39.3. В определенных ситуациях попытка заблокировать пользователя завершается неудачей после временной зависания браузера и сообщения об ошибке DBQueryDisconnectedError.
CVE-2022-29906Модуль admin API в расширении QuizGame для MediaWiki до версии 1.37.2 (до 665e33a68f6fa1167df99c0aa18ed0157cdf9f66) пропускает проверку пользователя quizadmin.
CVE-2022-29904Расширение SemanticDrilldown для MediaWiki до версии 1.37.2 (до e688bdba6434591b5dff689a45e4d53459954773) допускает SQL-инъекцию с определенными ограничениями '-' и '_'.
CVE-2022-28209В Mediawiki до версии 1.37.1 обнаружена проблема. Проверка разрешения override-antispoof в расширении AntiSpoof выполнена некорректно.
CVE-2022-28206В MediaWiki до версии 1.37.1 обнаружена проблема. ImportPlanValidator.php в расширении FileImporter неправильно обрабатывает проверку прав на редактирование.
CVE-2022-28205В MediaWiki до версии 1.37.1 обнаружена проблема. Расширение CentralAuth неправильно обрабатывает проблему ttl для групп, срок действия которых истекает в будущем.
CVE-2021-36128Обнаружена проблема в расширении CentralAuth в MediaWiki до 1.36. Автоблокировки для блоков подавления, выданных CentralAuth, реализованы неправильно.
CVE-2021-36126Обнаружена проблема в расширении AbuseFilter в MediaWiki до 1.36. Если сообщение MediaWiki:Abusefilter-blocker недействительно в языке содержимого, пользователь фильтра возвращается к английской версии, но эта английская версия также может быть недействительной в вики. Это приведет к фатальной ошибке и может не заблокировать или ограничить потенциально гнусного пользователя.
CVE-2020-29007Расширение Score до версии 0.3.0 для MediaWiki имеет уязвимость удаленного выполнения кода из-за неправильной песочницы исполняемого файла GNU LilyPond. Это позволяет любому пользователю с возможностью редактировать статьи (потенциально включая не прошедших проверку подлинности анонимных пользователей) выполнять произвольный код Scheme или shell, используя специально созданные {{Image data для создания музыкальных партитур, содержащих вредоносный код.
CVE-2019-12468В Wikimedia MediaWiki версий 1.27.0 - 1.32.1 обнаружена уязвимость неправильного контроля доступа. Непосредственная отправка POST-запросов в Special:ChangeEmail позволит обойти повторную аутентификацию, что может привести к захвату учетной записи.
CVE-2017-8809api.php в MediaWiki до 1.27.4, 1.28.x до 1.28.3 и 1.29.x до 1.29.2 имеет уязвимость Reflected File Download.
CVE-2017-0372Внедрение параметров в расширении SyntaxHighlight Mediawiki до версий 1.23.16, 1.27.3 и 1.28.2 может привести к множественным уязвимостям.
CVE-2015-8626Функция User::randomPassword в MediaWiki до 1.23.12, 1.24.x до 1.24.5, 1.25.x до 1.25.4 и 1.26.x до 1.26.1 генерирует пароли меньше, чем $wgMinimalPasswordLength, что облегчает удаленным злоумышленникам получение доступа с помощью атаки методом перебора.
CVE-2015-8009Функция MWOAuthDataStore::lookup_token в Extension:OAuth для MediaWiki 1.25.x до 1.25.3, 1.24.x до 1.24.4 и до 1.23.11 неправильно проверяет подпись при проверке подписи авторизации, что позволяет удаленным зарегистрированным потребителям использовать учетные данные другого потребителя, используя знание учетных данных.
CVE-2014-9487Библиотека getid3 в MediaWiki до версий 1.24.1, 1.23.8, 1.22.15 и 1.19.23 позволяет удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или, возможно, оказывать другое воздействие через атаку XML External Entity (XXE). ПРИМЕЧАНИЕ: Связано с CVE-2014-2053.
CVE-2025-67478Уязвимость в фонде Wikimedia CheckUser. Эта уязвимость связана с программными файлами, включая/Mail/UserMailer.Php.
Этот вопрос затрагивает CheckUser: от * до 1.39.14, 1.43.4, 1.44.1.
CVE-2025-53501Устранение неправильный контроль доступа в Wikimedia Foundation Mediawiki - Scribunto Extension позволяет: Доступ к функциональности Нелегально ограничен по авторизации.Эта проблема затрагивает Mediawiki - Scribunto Extension: от 1.39.X до 1.39.12, от 1.42.X до 1.42.
CVE-2024-47849Неправильная нейтрализация специальных элементов, используемых в SQL-команде (SQL Injection), в The Wikimedia Foundation Mediawiki - Cargo допускает SQL-инъекцию. Эта проблема затрагивает Mediawiki - Cargo: от 3.6.X до 3.6.1.
CVE-2021-46147Проблема обнаружена в MediaWiki версий до 1.35.5, 1.36.x до 1.36.3 и 1.37.x до 1.37.1. MassEditRegex допускает CSRF.
CVE-2021-41801Расширение ReplaceText до версии 1.41 для MediaWiki имеет неправильный контроль доступа. Когда пользователь блокируется после отправки задания на замену, задание все равно выполняется, даже если оно может быть выполнено позже (из-за невыполненной очереди заданий).
CVE-2021-36132Обнаружена проблема в расширении FileImporter в MediaWiki до 1.36. Для определенных ослабленных конфигураций переменной $wgFileImporterRequiredRight она может не проверять все соответствующие права пользователя, что позволяет пользователю с недостаточными правами выполнять операции (в частности, загрузку файлов), которые им не должны быть разрешены.
CVE-2020-35626Проблема обнаружена в расширении PushToWatch для MediaWiki до версии 1.35.1. Основная форма не реализовывала токен anti-CSRF и поэтому была полностью уязвима для CSRF-атак против onSkinAddFooterLinks в PushToWatch.php.
CVE-2020-35625Проблема обнаружена в расширении Widgets для MediaWiki до версии 1.35.1. Любой пользователь, имеющий возможность редактировать страницы в пространстве имен Widgets, может вызывать любую статическую функцию в любом классе (определенном в PHP или MediaWiki) через специально созданный HTML-комментарий, связанный с шаблоном Smarty. Например, человек в группе Widget Editors может использовать \MediaWiki\Shell\Shell::command в комментарии.