VYPR
← All advisories
Unrated severityNVD Advisory· Published May 23, 2011· Updated Apr 29, 2026

CVE-2011-1765

CVE-2011-1765

Description

Cross-site scripting (XSS) vulnerability in MediaWiki before 1.16.5, when Internet Explorer 6 or earlier is used, allows remote attackers to inject arbitrary web script or HTML via an uploaded file accessed with a dangerous extension such as .shtml at the end of the query string, in conjunction with a modified URI path that has a %2E sequence in place of the . (dot) character. NOTE: this vulnerability exists because of an incomplete fix for CVE-2011-1578 and CVE-2011-1587.

AI Insight

LLM-synthesized narrative grounded in this CVE's description and references.

MediaWiki before 1.16.5, when used with Internet Explorer 6 or earlier, allows XSS via uploaded files with dangerous extensions and URI path manipulation.

Vulnerability

Cross-site scripting (XSS) vulnerability in MediaWiki versions before 1.16.5, specifically affecting installations using Internet Explorer 6 or earlier [1]. The vulnerability stems from an incomplete fix for CVE-2011-1578 and CVE-2011-1587, allowing attackers to bypass file extension filtering [1]. The issue is triggered when an uploaded file is accessed with a dangerous extension such as .shtml appended at the end of the query string, combined with a modified URI path that substitutes a %2E sequence for the dot character [1]. The security release 1.16.5 addressed this by updating regular expressions to match extensions longer than four characters [1][3].

Exploitation

An attacker can exploit this vulnerability by uploading a file (e.g., an image) to a MediaWiki instance and then constructing a malicious URL that appends a dangerous extension like .shtml to the query string, while also replacing dots in the URI path with %2E [1]. The attack requires no authentication, as file uploads may be accessible to anonymous users depending on wiki configuration. The crafted URL, when visited by a victim using Internet Explorer 6 or earlier, causes the injected script or HTML to execute in the context of the wiki site [1].

Impact

Successful exploitation allows remote attackers to inject arbitrary web script or HTML into the victim's browser session, leading to cross-site scripting (XSS) [1]. This can result in information disclosure (e.g., session cookies), unauthorized actions performed on behalf of the victim, or defacement of the wiki interface. The attack fully compromises the victim's interaction with the vulnerable MediaWiki site [1][3].

Mitigation

MediaWiki version 1.16.5, released on May 5, 2011, fixes this vulnerability by extending the regular expression filter to cover dangerous extensions with more than four characters [1][3]. All sites running MediaWiki prior to 1.16.5 should upgrade immediately. There are no known workarounds besides disabling file uploads or restricting access to trusted users. This CVE does not appear on CISA's Known Exploited Vulnerabilities (KEV) catalog [1][3].

References
  1. [MediaWiki-announce] MediaWiki security release 1.16.5
  2. 702512 – (CVE-2011-1765, CVE-2011-1766) CVE-2011-1765 mediawiki: two vulnerabilities fixed in 1.16.5

AI Insight generated on May 23, 2026. Synthesized from this CVE's description and the cited reference URLs; citations are validated against the source bundle.

Affected products

138
  • MediaWiki/Mediawiki137 versions
    cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:*+ 136 more
    • cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:*range: <=1.16.4
    • cpe:2.3:a:mediawiki:mediawiki:1.1.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.10.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.10.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.10.0:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.10.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.10.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.10.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.10.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.11.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.11.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.11.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.11.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.12.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.12.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.12.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.12.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.12.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.12.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.13.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.13.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.13.0:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.13.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.13.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.13.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.13.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.14.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.14.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.14.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.15.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.15.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.15.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.15.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.15.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.15.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.15.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.16.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.16.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.16.0:beta2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.16.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.16.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.16.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.2.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.2.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.12:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.13:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.14:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.15:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.3.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.12:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.13:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.14:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4:beta1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4:beta2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4:beta3:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4:beta4:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4:beta5:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.4:beta6:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:alpha1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:alpha2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:beta1:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:beta2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:beta3:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:beta4:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:rc3:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.5:rc4:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.12:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.6.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.7.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.7.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.7.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.7.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.8.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.8.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.8.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.8.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.8.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.8.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.0:rc2:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.9.6:*:*:*:*:*:*:*
  • Wikimedia Foundation/Mediawikillm-fuzzy
    Range: <1.16.5

Patches

0

No patches discovered yet.

Vulnerability mechanics

AI mechanics synthesis has not run for this CVE yet.

References

8

News mentions

0

No linked articles in our index yet.