Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la extensión OAuth para MediaWiki (CVE-2015-8008)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
29/12/2017
Última modificación:
20/04/2025

Descripción

La extensión OAuth para MediaWiki negocia incorrectamente un nuevo token de cliente solo en Special:OAuth/initiate. Esto permite que atacantes omitan las restricciones de dirección IP planeadas elaborando una petición API con un token existente.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:* 1.25.3 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:21:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:22:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:23:*:*:*:*:*:*:*