CVE-2014-2665CVE-2014-2665

Affected configuration(s):

cpe:/a:mediawiki:mediawiki:1.19
cpe:/a:mediawiki:mediawiki:1.19:beta_1
cpe:/a:mediawiki:mediawiki:1.19:beta_2
cpe:/a:mediawiki:mediawiki:1.19.0
cpe:/a:mediawiki:mediawiki:1.19.1
cpe:/a:mediawiki:mediawiki:1.19.2
cpe:/a:mediawiki:mediawiki:1.19.3
cpe:/a:mediawiki:mediawiki:1.19.4
cpe:/a:mediawiki:mediawiki:1.19.5
cpe:/a:mediawiki:mediawiki:1.19.6
cpe:/a:mediawiki:mediawiki:1.19.7
cpe:/a:mediawiki:mediawiki:1.19.8
cpe:/a:mediawiki:mediawiki:1.19.9
cpe:/a:mediawiki:mediawiki:1.19.10
cpe:/a:mediawiki:mediawiki:1.19.11
cpe:/a:mediawiki:mediawiki:1.19.12
cpe:/a:mediawiki:mediawiki:1.19.13
cpe:/a:mediawiki:mediawiki:1.20
cpe:/a:mediawiki:mediawiki:1.20.1
cpe:/a:mediawiki:mediawiki:1.20.2
cpe:/a:mediawiki:mediawiki:1.20.3
cpe:/a:mediawiki:mediawiki:1.20.4
cpe:/a:mediawiki:mediawiki:1.20.5
cpe:/a:mediawiki:mediawiki:1.20.6
cpe:/a:mediawiki:mediawiki:1.20.7
cpe:/a:mediawiki:mediawiki:1.20.8
cpe:/a:mediawiki:mediawiki:1.21
cpe:/a:mediawiki:mediawiki:1.21.1
cpe:/a:mediawiki:mediawiki:1.21.2
cpe:/a:mediawiki:mediawiki:1.21.3
cpe:/a:mediawiki:mediawiki:1.21.4
cpe:/a:mediawiki:mediawiki:1.21.5
cpe:/a:mediawiki:mediawiki:1.21.6
cpe:/a:mediawiki:mediawiki:1.21.7
cpe:/a:mediawiki:mediawiki:1.22.0
cpe:/a:mediawiki:mediawiki:1.22.1
cpe:/a:mediawiki:mediawiki:1.22.2
cpe:/a:mediawiki:mediawiki:1.22.3
cpe:/a:mediawiki:mediawiki:1.22.4

Date published: 2014-04-19T21:55:06.987-04:00

Date last modified: 2014-04-24T01:06:23.157-04:00

CVSS Score: 4.0

Principal attack vector: NETWORK

Complexity:  LOW

Reference URL: http://lists.wikimedia.org/pipermail/mediawiki-announce/2014-March/000145.html

Summary: includes/specials/SpecialChangePassword.php in MediaWiki before 1.19.14, 1.20.x and 1.21.x before 1.21.8, and 1.22.x before 1.22.5 does not properly handle a correctly authenticated but unintended login attempt, which makes it easier for remote authenticated users to obtain sensitive information by arranging for a victim to login to the attacker’s account, as demonstrated by tracking the victim’s activity, related to a “login CSRF” issue.

CategoriesUncategorised

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.