VYPR
← All advisories
Unrated severityNVD Advisory· Published Jan 4, 2015· Updated May 6, 2026

CVE-2014-9276

CVE-2014-9276

Description

Cross-site request forgery (CSRF) vulnerability in the Special:ExpandedTemplates page in MediaWiki before 1.19.22, 1.20.x through 1.22.x before 1.22.14, and 1.23.x before 1.23.7, when $wgRawHTML is set to true, allows remote attackers to hijack the authentication of users with edit permissions for requests that cross-site scripting (XSS) attacks via the wpInput parameter, which is not properly handled in the preview.

Affected products

42
  • MediaWiki/Mediawiki42 versions
    cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:*+ 41 more
    • cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:*range: <=1.19.21
    • cpe:2.3:a:mediawiki:mediawiki:1.20:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.12:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.13:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.6:*:*:*:*:*:*:*

Patches

0

No patches discovered yet.

Vulnerability mechanics

AI mechanics synthesis has not run for this CVE yet.

References

5

News mentions

0

No linked articles in our index yet.