Vulnerability-Lookup

WID-SEC-W-2023-1695

Vulnerability from csaf_certbund - Published: 2023-07-09 22:00 - Updated: 2023-07-09 22:00

Summary

MediaWiki: Mehrere Schwachstellen

Severity

Hoch

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung: MediaWiki ist ein freies Wiki, das ursprünglich für den Einsatz auf Wikipedia entwickelt wurde.

Angriff: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in MediaWiki ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen und Angriffe mit unspezifischen Auswirkungen auszuführen.

Betroffene Betriebssysteme: - Sonstiges

CVE-2023-37305

In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzulässigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen und Angriffe mit unspezifischen Auswirkungen auszuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.

CVE-2023-37304

CVE-2023-37303

CVE-2023-37302

CVE-2023-37301

CVE-2023-37256

CVE-2023-37255

CVE-2023-37254

CVE-2023-37253

CVE-2023-37252

CVE-2023-37251

References

URL

Category

	https://wid.cert-bund.de/.well-known/csaf/white/2…	self
	https://wid.cert-bund.de/portal/wid/securityadvis…	self
	https://nvd.nist.gov/vuln/detail/CVE-2023-37305	external
	https://phabricator.wikimedia.org/T339111	external
	https://phabricator.wikimedia.org/T250720	external
	https://phabricator.wikimedia.org/T331065	external
	https://phabricator.wikimedia.org/T333569	external
	https://lists.wikimedia.org/hyperkitty/list/media…	external
	https://phabricator.wikimedia.org/T326952	external
	https://phabricator.wikimedia.org/T323651	external
	https://phabricator.wikimedia.org/T338276	external

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "MediaWiki ist ein freies Wiki, das urspr\u00fcnglich f\u00fcr den Einsatz auf Wikipedia entwickelt wurde.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in MediaWiki ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-1695 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1695.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-1695 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1695"
      },
      {
        "category": "external",
        "summary": "National Vulnerability Database vom 2023-07-09",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-37305"
      },
      {
        "category": "external",
        "summary": "PoC vom 2023-07-09",
        "url": "https://phabricator.wikimedia.org/T339111"
      },
      {
        "category": "external",
        "summary": "PoC vom 2023-07-09",
        "url": "https://phabricator.wikimedia.org/T250720"
      },
      {
        "category": "external",
        "summary": "PoC vom 2023-07-09",
        "url": "https://phabricator.wikimedia.org/T331065"
      },
      {
        "category": "external",
        "summary": "PoC vom 2023-07-09",
        "url": "https://phabricator.wikimedia.org/T333569"
      },
      {
        "category": "external",
        "summary": "MediaWiki Extensions and Skins Security Release Supplement vom 2023-07-09",
        "url": "https://lists.wikimedia.org/hyperkitty/list/mediawiki-announce@lists.wikimedia.org/thread/4GNSSE2VECVOPWE2NUKWD4C5IOSSF73R/"
      },
      {
        "category": "external",
        "summary": "PoC vom 2023-07-09",
        "url": "https://phabricator.wikimedia.org/T326952"
      },
      {
        "category": "external",
        "summary": "PoC vom 2023-07-09",
        "url": "https://phabricator.wikimedia.org/T323651"
      },
      {
        "category": "external",
        "summary": "PoC vom 2023-07-09",
        "url": "https://phabricator.wikimedia.org/T338276"
      }
    ],
    "source_lang": "en-US",
    "title": "MediaWiki: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-07-09T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:55:10.071+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-1695",
      "initial_release_date": "2023-07-09T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-07-09T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "Open Source MediaWiki \u003c 1.35.11",
                "product": {
                  "name": "Open Source MediaWiki \u003c 1.35.11",
                  "product_id": "T028325",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:mediawiki:mediawiki:1.35.11"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Open Source MediaWiki \u003c 1.38.7",
                "product": {
                  "name": "Open Source MediaWiki \u003c 1.38.7",
                  "product_id": "T028326",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:mediawiki:mediawiki:1.38.7"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Open Source MediaWiki \u003c 1.39.4",
                "product": {
                  "name": "Open Source MediaWiki \u003c 1.39.4",
                  "product_id": "T028327",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:mediawiki:mediawiki:1.39.4"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Open Source MediaWiki \u003c= 1.39.3",
                "product": {
                  "name": "Open Source MediaWiki \u003c= 1.39.3",
                  "product_id": "T028470",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:mediawiki:mediawiki:1.39.3"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Open Source MediaWiki \u003c 1.40.0",
                "product": {
                  "name": "Open Source MediaWiki \u003c 1.40.0",
                  "product_id": "T028471",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:mediawiki:mediawiki:1.40.0"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "MediaWiki"
          }
        ],
        "category": "vendor",
        "name": "Open Source"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-37305",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37305"
    },
    {
      "cve": "CVE-2023-37304",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37304"
    },
    {
      "cve": "CVE-2023-37303",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37303"
    },
    {
      "cve": "CVE-2023-37302",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37302"
    },
    {
      "cve": "CVE-2023-37301",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37301"
    },
    {
      "cve": "CVE-2023-37256",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37256"
    },
    {
      "cve": "CVE-2023-37255",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37255"
    },
    {
      "cve": "CVE-2023-37254",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37254"
    },
    {
      "cve": "CVE-2023-37253",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37253"
    },
    {
      "cve": "CVE-2023-37252",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37252"
    },
    {
      "cve": "CVE-2023-37251",
      "notes": [
        {
          "category": "description",
          "text": "In MediaWiki existieren mehrere Schwachstellen. Die Fehler bestehen unter anderem durch eine HTML-Injektion, einen unzul\u00e4ssigen Escape, ein Datenleck und eine Style-Injektion. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Angriffe mit unspezifischen Auswirkungen auszuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028470"
        ]
      },
      "release_date": "2023-07-09T22:00:00.000+00:00",
      "title": "CVE-2023-37251"
    }
  ]
}

CVE-2023-37304 (GCVE-0-2023-37304)

Vulnerability from cvelistv5 – Published: 2023-06-30 00:00 – Updated: 2024-11-26 16:16

Summary

An issue was discovered in the DoubleWiki extension for MediaWiki through 1.39.3. includes/DoubleWiki.php allows XSS via the column alignment feature.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

	https://phabricator.wikimedia.org/T323651
	https://gerrit.wikimedia.org/r/c/mediawiki/extens…

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:34.313Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T323651"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/DoubleWiki/+/932825"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37304",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-26T16:16:46.800358Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-26T16:16:56.585Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in the DoubleWiki extension for MediaWiki through 1.39.3. includes/DoubleWiki.php allows XSS via the column alignment feature."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-30T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T323651"
        },
        {
          "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/DoubleWiki/+/932825"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37304",
    "datePublished": "2023-06-30T00:00:00.000Z",
    "dateReserved": "2023-06-30T00:00:00.000Z",
    "dateUpdated": "2024-11-26T16:16:56.585Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37301 (GCVE-0-2023-37301)

Vulnerability from cvelistv5 – Published: 2023-06-30 00:00 – Updated: 2024-11-27 18:47

Summary

An issue was discovered in SubmitEntityAction in Wikibase in MediaWiki through 1.39.3. Because it doesn't use EditEntity for undo and restore, the intended interaction with AbuseFilter does not occur.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

	https://phabricator.wikimedia.org/T250720
	https://gerrit.wikimedia.org/r/c/mediawiki/extens…

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:34.087Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T250720"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Wikibase/+/933663"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37301",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-27T18:46:21.372349Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-326",
                "description": "CWE-326 Inadequate Encryption Strength",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-27T18:47:20.839Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in SubmitEntityAction in Wikibase in MediaWiki through 1.39.3. Because it doesn\u0027t use EditEntity for undo and restore, the intended interaction with AbuseFilter does not occur."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-30T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T250720"
        },
        {
          "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Wikibase/+/933663"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37301",
    "datePublished": "2023-06-30T00:00:00.000Z",
    "dateReserved": "2023-06-30T00:00:00.000Z",
    "dateUpdated": "2024-11-27T18:47:20.839Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37256 (GCVE-0-2023-37256)

Vulnerability from cvelistv5 – Published: 2023-06-29 00:00 – Updated: 2024-11-26 19:35

Summary

An issue was discovered in the Cargo extension for MediaWiki through 1.39.3. It allows one to store javascript: URLs in URL fields, and automatically links these URLs.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

https://phabricator.wikimedia.org/T331311

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:33.135Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T331311"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37256",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-26T19:33:53.973360Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-79",
                "description": "CWE-79 Improper Neutralization of Input During Web Page Generation (\u0027Cross-site Scripting\u0027)",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-26T19:35:42.623Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in the Cargo extension for MediaWiki through 1.39.3. It allows one to store javascript: URLs in URL fields, and automatically links these URLs."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-29T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T331311"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37256",
    "datePublished": "2023-06-29T00:00:00.000Z",
    "dateReserved": "2023-06-29T00:00:00.000Z",
    "dateUpdated": "2024-11-26T19:35:42.623Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37303 (GCVE-0-2023-37303)

Vulnerability from cvelistv5 – Published: 2023-06-30 00:00 – Updated: 2024-11-27 18:41

Summary

An issue was discovered in the CheckUser extension for MediaWiki through 1.39.3. In certain situations, an attempt to block a user fails after a temporary browser hang and a DBQueryDisconnectedError error message.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

	https://phabricator.wikimedia.org/T338276
	https://gerrit.wikimedia.org/r/q/I10a9273c542576b…

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:34.143Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T338276"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://gerrit.wikimedia.org/r/q/I10a9273c542576b3f7bb38de68dcd2aa41cfb1b0"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37303",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-27T18:40:12.630661Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-754",
                "description": "CWE-754 Improper Check for Unusual or Exceptional Conditions",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-27T18:41:36.313Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in the CheckUser extension for MediaWiki through 1.39.3. In certain situations, an attempt to block a user fails after a temporary browser hang and a DBQueryDisconnectedError error message."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-30T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T338276"
        },
        {
          "url": "https://gerrit.wikimedia.org/r/q/I10a9273c542576b3f7bb38de68dcd2aa41cfb1b0"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37303",
    "datePublished": "2023-06-30T00:00:00.000Z",
    "dateReserved": "2023-06-30T00:00:00.000Z",
    "dateUpdated": "2024-11-27T18:41:36.313Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37251 (GCVE-0-2023-37251)

Vulnerability from cvelistv5 – Published: 2023-06-29 00:00 – Updated: 2024-11-26 19:37

Summary

An issue was discovered in the GoogleAnalyticsMetrics extension for MediaWiki through 1.39.3. The googleanalyticstrackurl parser function does not properly escape JavaScript in the onclick handler and does not prevent use of javascript: URLs.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

https://phabricator.wikimedia.org/T333980

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:33.307Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T333980"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37251",
                "options": [
                  {
                    "Exploitation": "none"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-26T19:37:38.015787Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-26T19:37:48.675Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in the GoogleAnalyticsMetrics extension for MediaWiki through 1.39.3. The googleanalyticstrackurl parser function does not properly escape JavaScript in the onclick handler and does not prevent use of javascript: URLs."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-29T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T333980"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37251",
    "datePublished": "2023-06-29T00:00:00.000Z",
    "dateReserved": "2023-06-29T00:00:00.000Z",
    "dateUpdated": "2024-11-26T19:37:48.675Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37305 (GCVE-0-2023-37305)

Vulnerability from cvelistv5 – Published: 2023-06-30 00:00 – Updated: 2024-11-26 16:16

Summary

An issue was discovered in the ProofreadPage (aka Proofread Page) extension for MediaWiki through 1.39.3. In includes/Page/PageContentHandler.php and includes/Page/PageDisplayHandler.php, hidden users can be exposed via public interfaces.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

	https://phabricator.wikimedia.org/T326952
	https://gerrit.wikimedia.org/r/q/Ibe5f8e25dea155b…

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:34.177Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T326952"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://gerrit.wikimedia.org/r/q/Ibe5f8e25dea155bbd811a65833394c0d4b906a34"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37305",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-26T16:14:53.884421Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-203",
                "description": "CWE-203 Observable Discrepancy",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-26T16:16:14.016Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in the ProofreadPage (aka Proofread Page) extension for MediaWiki through 1.39.3. In includes/Page/PageContentHandler.php and includes/Page/PageDisplayHandler.php, hidden users can be exposed via public interfaces."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-30T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T326952"
        },
        {
          "url": "https://gerrit.wikimedia.org/r/q/Ibe5f8e25dea155bbd811a65833394c0d4b906a34"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37305",
    "datePublished": "2023-06-30T00:00:00.000Z",
    "dateReserved": "2023-06-30T00:00:00.000Z",
    "dateUpdated": "2024-11-26T16:16:14.016Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37255 (GCVE-0-2023-37255)

Vulnerability from cvelistv5 – Published: 2023-06-29 00:00 – Updated: 2024-11-26 19:36

Summary

An issue was discovered in the CheckUser extension for MediaWiki through 1.39.3. In Special:CheckUser, a check of the "get edits" type is vulnerable to HTML injection through the User-Agent HTTP request header.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

https://phabricator.wikimedia.org/T333569

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:33.058Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T333569"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37255",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-26T19:36:36.377825Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-26T19:36:50.300Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in the CheckUser extension for MediaWiki through 1.39.3. In Special:CheckUser, a check of the \"get edits\" type is vulnerable to HTML injection through the User-Agent HTTP request header."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-29T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T333569"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37255",
    "datePublished": "2023-06-29T00:00:00.000Z",
    "dateReserved": "2023-06-29T00:00:00.000Z",
    "dateUpdated": "2024-11-26T19:36:50.300Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37302 (GCVE-0-2023-37302)

Vulnerability from cvelistv5 – Published: 2023-06-30 00:00 – Updated: 2024-11-26 16:44

Summary

An issue was discovered in SiteLinksView.php in Wikibase in MediaWiki through 1.39.3. There is XSS via a crafted badge title attribute. This is also related to lack of escaping in wbTemplate (from resources/wikibase/templates.js) for quotes (which can be in a title attribute).

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

	https://phabricator.wikimedia.org/T339111
	https://gerrit.wikimedia.org/r/c/mediawiki/extens…
	https://gerrit.wikimedia.org/r/c/mediawiki/extens…

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:34.000Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T339111"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Wikibase/+/933649"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Wikibase/+/933650"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37302",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-26T16:44:40.558042Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-26T16:44:49.293Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in SiteLinksView.php in Wikibase in MediaWiki through 1.39.3. There is XSS via a crafted badge title attribute. This is also related to lack of escaping in wbTemplate (from resources/wikibase/templates.js) for quotes (which can be in a title attribute)."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-30T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T339111"
        },
        {
          "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Wikibase/+/933649"
        },
        {
          "url": "https://gerrit.wikimedia.org/r/c/mediawiki/extensions/Wikibase/+/933650"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37302",
    "datePublished": "2023-06-30T00:00:00.000Z",
    "dateReserved": "2023-06-30T00:00:00.000Z",
    "dateUpdated": "2024-11-26T16:44:49.293Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

CVE-2023-37254 (GCVE-0-2023-37254)

Vulnerability from cvelistv5 – Published: 2023-06-29 00:00 – Updated: 2024-11-27 16:24

Summary

An issue was discovered in the Cargo extension for MediaWiki through 1.39.3. XSS can occur in Special:CargoQuery via a crafted page item when using the default format.

Severity ?

No CVSS data available.

CWE

Assigner

mitre

References

URL

Tags

https://phabricator.wikimedia.org/T331065

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T17:09:33.149Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://phabricator.wikimedia.org/T331065"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2023-37254",
                "options": [
                  {
                    "Exploitation": "poc"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-11-27T16:24:14.123245Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-11-27T16:24:33.619Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "n/a",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "n/a"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "An issue was discovered in the Cargo extension for MediaWiki through 1.39.3. XSS can occur in Special:CargoQuery via a crafted page item when using the default format."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "n/a",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-06-29T00:00:00.000Z",
        "orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
        "shortName": "mitre"
      },
      "references": [
        {
          "url": "https://phabricator.wikimedia.org/T331065"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
    "assignerShortName": "mitre",
    "cveId": "CVE-2023-37254",
    "datePublished": "2023-06-29T00:00:00.000Z",
    "dateReserved": "2023-06-29T00:00:00.000Z",
    "dateUpdated": "2024-11-27T16:24:33.619Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Tags

Taxonomy of the tags.

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted

WID-SEC-W-2023-1695

CVE-2023-37304 (GCVE-0-2023-37304)

CVE-2023-37301 (GCVE-0-2023-37301)

CVE-2023-37256 (GCVE-0-2023-37256)

CVE-2023-37303 (GCVE-0-2023-37303)

CVE-2023-37251 (GCVE-0-2023-37251)

CVE-2023-37305 (GCVE-0-2023-37305)

CVE-2023-37255 (GCVE-0-2023-37255)

CVE-2023-37302 (GCVE-0-2023-37302)

CVE-2023-37254 (GCVE-0-2023-37254)

Tags

Sightings

Nomenclature