CVE-2010-2487
Description
Multiple cross-site scripting (XSS) vulnerabilities in MoinMoin 1.7.3 and earlier, 1.8.x before 1.8.8, and 1.9.x before 1.9.3 allow remote attackers to inject arbitrary web script or HTML via crafted content, related to (1) Page.py, (2) PageEditor.py, (3) PageGraphicalEditor.py, (4) action/CopyPage.py, (5) action/Load.py, (6) action/RenamePage.py, (7) action/backup.py, (8) action/login.py, (9) action/newaccount.py, and (10) action/recoverpass.py.
Predictions
Heuristic predictions, AS-IS, for prioritization only.
Mitigations
Vendor advisory: secalert@redhat.com — http://www.vupen.com/english/advisories/2010/1981
Vendor advisory: secalert@redhat.com — http://secunia.com/advisories/40836
Vendor advisory: secalert@redhat.com — http://moinmo.in/SecurityFixes
Vendor advisory: secalert@redhat.com — http://moinmo.in/MoinMoinBugs/1.9.2UnescapedInputForThemeAddMsg
Application impact
| Vendor | Product | Versions | Fixed |
|---|---|---|---|
| moinmo | moinmoin | {"endIncluding":"1.7.3"} | |
| moinmo | moinmoin | 0.1 | |
| moinmo | moinmoin | 0.2 | |
| moinmo | moinmoin | 0.3 | |
| moinmo | moinmoin | 0.4 | |
| moinmo | moinmoin | 0.5 | |
| moinmo | moinmoin | 0.6 | |
| moinmo | moinmoin | 0.7 | |
| moinmo | moinmoin | 0.8 | |
| moinmo | moinmoin | 0.9 | |
| moinmo | moinmoin | 0.10 | |
| moinmo | moinmoin | 0.11 | |
| moinmo | moinmoin | 1.0 | |
| moinmo | moinmoin | 1.1 | |
| moinmo | moinmoin | 1.2 | |
| moinmo | moinmoin | 1.2.1 | |
| moinmo | moinmoin | 1.2.2 | |
| moinmo | moinmoin | 1.2.3 | |
| moinmo | moinmoin | 1.2.4 | |
| moinmo | moinmoin | 1.3.0 | |
| moinmo | moinmoin | 1.3.1 | |
| moinmo | moinmoin | 1.3.2 | |
| moinmo | moinmoin | 1.3.3 | |
| moinmo | moinmoin | 1.3.4 | |
| moinmo | moinmoin | 1.3.5 | |
| moinmo | moinmoin | 1.4 | |
| moinmo | moinmoin | 1.5.0 | |
| moinmo | moinmoin | 1.5.1 | |
| moinmo | moinmoin | 1.5.2 | |
| moinmo | moinmoin | 1.5.3 | |
| moinmo | moinmoin | 1.5.4 | |
| moinmo | moinmoin | 1.5.5 | |
| moinmo | moinmoin | 1.5.5a | |
| moinmo | moinmoin | 1.5.6 | |
| moinmo | moinmoin | 1.5.7 | |
| moinmo | moinmoin | 1.5.8 | |
| moinmo | moinmoin | 1.6.0 | |
| moinmo | moinmoin | 1.6.1 | |
| moinmo | moinmoin | 1.6.2 | |
| moinmo | moinmoin | 1.6.3 | |
| moinmo | moinmoin | 1.6.4 | |
| moinmo | moinmoin | 1.7.0 | |
| moinmo | moinmoin | 1.7.1 | |
| moinmo | moinmoin | 1.7.2 | |
| moinmo | moinmoin | 1.8.0 | |
| moinmo | moinmoin | 1.8.1 | |
| moinmo | moinmoin | 1.8.2 | |
| moinmo | moinmoin | 1.8.3 | |
| moinmo | moinmoin | 1.8.4 | |
| moinmo | moinmoin | 1.8.6 | |
| moinmo | moinmoin | 1.8.7 | |
| moinmo | moinmoin | 1.9.0 | |
| moinmo | moinmoin | 1.9.1 | |
| moinmo | moinmoin | 1.9.2 | |
References
- https://nvd.nist.gov/vuln/detail/CVE-2010-2487
- https://github.com/moinwiki/moin
- https://github.com/pypa/advisory-database/tree/main/vulns/moin/PYSEC-2010-16.yaml
- https://web.archive.org/web/20140801154518/http://secunia.com/advisories/40836
- https://web.archive.org/web/20200228150629/http://www.securityfocus.com/bid/40549
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=584809
- http://hg.moinmo.in/moin/1.7/rev/37306fba2189
- http://hg.moinmo.in/moin/1.8/raw-file/1.8.8/docs/CHANGES
- http://hg.moinmo.in/moin/1.8/rev/4238b0c90871
- http://hg.moinmo.in/moin/1.9/raw-file/1.9.3/docs/CHANGES
- http://hg.moinmo.in/moin/1.9/rev/68ba3cc79513
- http://hg.moinmo.in/moin/1.9/rev/e50b087c4572
- http://marc.info/?l=oss-security&m=127799369406968&w=2
- http://marc.info/?l=oss-security&m=127809682420259&w=2
- http://moinmo.in/MoinMoinBugs/1.9.2UnescapedInputForThemeAddMsg
- http://moinmo.in/MoinMoinRelease1.8
- http://moinmo.in/MoinMoinRelease1.9
- http://moinmo.in/SecurityFixes
- http://www.debian.org/security/2010/dsa-2083
- http://secunia.com/advisories/40836
- http://www.securityfocus.com/bid/40549
- http://www.vupen.com/english/advisories/2010/1981
CWEs
CWE-79
Verify integrity in audit chain (admin only). AS-IS.