Unrated severityNVD Advisory· Published Apr 13, 2015· Updated Jun 17, 2026
CVE-2015-2942
CVE-2015-2942
Description
MediaWiki before 1.19.24, 1.2x before 1.23.9, and 1.24.x before 1.24.2, when using HHVM, allows remote attackers to cause a denial of service (CPU and memory consumption) via a large number of nested entity references in an (1) SVG file or (2) XMP metadata in a PDF file, aka a "billion laughs attack," a different vulnerability than CVE-2015-2937.
AI Insight
LLM-synthesized narrative grounded in this CVE's description and references.
Affected products
51<1.19.24 || >=1.20.0,<1.23.9 || >=1.24.0,<1.24.2+ 50 more
- (no CPE)range: <1.19.24 || >=1.20.0,<1.23.9 || >=1.24.0,<1.24.2
- cpe:2.3:a:mediawiki:mediawiki:*:*:*:*:*:*:*:*range: <=1.19.23
- cpe:2.3:a:mediawiki:mediawiki:1.20:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.1:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.2:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.3:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.4:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.5:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.6:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.7:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.20.8:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.1:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.10:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.11:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.2:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.3:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.4:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.5:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.6:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.7:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.8:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.21.9:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.0:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.1:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.10:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.11:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.12:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.13:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.14:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.15:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.2:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.3:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.4:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.5:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.6:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.7:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.8:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.22.9:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.0:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.1:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.2:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.3:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.4:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.5:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.6:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.7:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.23.8:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.24.0:*:*:*:*:*:*:*
- cpe:2.3:a:mediawiki:mediawiki:1.24.1:*:*:*:*:*:*:*
- (no CPE)range: <1.19.24, >=1.20 <1.23.9, >=1.24 <1.24.2
Patches
Vulnerability mechanics
References
6- lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.htmlnvdPatchVendor Advisory
- phabricator.wikimedia.org/T85848nvdExploit
- www.openwall.com/lists/oss-security/2015/04/01/1nvd
- www.openwall.com/lists/oss-security/2015/04/07/3nvd
- www.securityfocus.com/bid/73477nvd
- security.gentoo.org/glsa/201510-05nvd
News mentions
0No linked articles in our index yet.