5

CVE-2013-4302

(1) ApiBlock.php, (2) ApiCreateAccount.php, (3) ApiLogin.php, (4) ApiMain.php, (5) ApiQueryDeletedrevs.php, (6) ApiTokens.php, and (7) ApiUnblock.php in includes/api/ in MediaWiki 1.19.x before 1.19.8, 1.20.x before 1.20.7, and 1.21.x before 1.21.2 allow remote attackers to obtain CSRF tokens and bypass the cross-site request forgery (CSRF) protection mechanism via a JSONP request to wiki/api.php.
Daten sind bereitgestellt durch National Vulnerability Database (NVD)
MediawikiMediawiki Version1.19.0
MediawikiMediawiki Version1.19.1
MediawikiMediawiki Version1.19.2
MediawikiMediawiki Version1.19.3
MediawikiMediawiki Version1.19.4
MediawikiMediawiki Version1.19.5
MediawikiMediawiki Version1.19.6
MediawikiMediawiki Version1.19.7
MediawikiMediawiki Version1.20
MediawikiMediawiki Version1.20.1
MediawikiMediawiki Version1.20.2
MediawikiMediawiki Version1.20.3
MediawikiMediawiki Version1.20.4
MediawikiMediawiki Version1.20.5
MediawikiMediawiki Version1.20.6
MediawikiMediawiki Version1.21
MediawikiMediawiki Version1.21.1
Zu dieser CVE wurde keine Warnung gefunden.
EPSS Metriken
Typ Quelle Score Percentile
EPSS FIRST.org 1.99% 0.781
CVSS Metriken
Quelle Base Score Exploit Score Impact Score Vector String
nvd@nist.gov 5 10 2.9
AV:N/AC:L/Au:N/C:P/I:N/A:N
Es wurden noch keine Informationen zu CWE veröffentlicht.
https://www.mediawiki.org/wiki/Release_notes/1.19
http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-September/000133.html
Patch
http://seclists.org/oss-sec/2013/q3/553
Patch
http://secunia.com/advisories/54715
Vendor Advisory
https://www.mediawiki.org/wiki/Release_notes/1.20
https://www.mediawiki.org/wiki/Release_notes/1.21
http://osvdb.org/96912
http://www.debian.org/security/2013/dsa-2753
https://bugzilla.wikimedia.org/show_bug.cgi?id=49090
Patch
https://exchange.xforce.ibmcloud.com/vulnerabilities/86896