VYPR
Get started
← All advisories
Unrated severityNVD Advisory· Published Jan 4, 2015· Updated May 6, 2026

CVE-2014-9277

CVE-2014-9277

Description

The wfMangleFlashPolicy function in OutputHandler.php in MediaWiki before 1.19.22, 1.20.x through 1.22.x before 1.22.14, and 1.23.x before 1.23.7 allows remote attackers to conduct PHP object injection attacks via a crafted string containing <cross-domain-policy> in a PHP format request, which causes the string length to change when converting the request to <NOT-cross-domain-policy>.

Affected products

42
  • MediaWiki/Mediawiki42 versions
    cpe:2.3:a:mediawiki:mediawiki:1.22.0:*:*:*:*:*:*:*+ 41 more
    • cpe:2.3:a:mediawiki:mediawiki:1.22.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:*range: <=1.19.21
    • cpe:2.3:a:mediawiki:mediawiki:1.20:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.20.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.9:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.21.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.6:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.7:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.8:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.10:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.11:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.12:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.22.13:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.0:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.1:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.2:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.3:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.4:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.5:*:*:*:*:*:*:*
    • cpe:2.3:a:mediawiki:mediawiki:1.23.6:*:*:*:*:*:*:*

Patches

0

No patches discovered yet.

Vulnerability mechanics

AI mechanics synthesis has not run for this CVE yet.

References

6

News mentions

0

No linked articles in our index yet.