Vulnerability Name:

CVE-2010-2487 (CCN-59131)

Assigned:2010-06-03
Published:2010-06-03
Updated:2010-08-05
Summary:Multiple cross-site scripting (XSS) vulnerabilities in MoinMoin 1.7.3 and earlier, 1.8.x before 1.8.8, and 1.9.x before 1.9.3 allow remote attackers to inject arbitrary web script or HTML via crafted content, related to (1) Page.py, (2) PageEditor.py, (3) PageGraphicalEditor.py, (4) action/CopyPage.py, (5) action/Load.py, (6) action/RenamePage.py, (7) action/backup.py, (8) action/login.py, (9) action/newaccount.py, and (10) action/recoverpass.py.
CVSS v3 Severity:5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): None
Integrity (I): Low
Availibility (A): None
CVSS v2 Severity:4.3 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
3.7 Low (Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Medium
Authentication (Au): None
Impact Metrics:Confidentiality (C): None
Integrity (I): Partial
Availibility (A): None
4.3 Medium (CCN CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
3.7 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Medium
Athentication (Au): None
Impact Metrics:Confidentiality (C): None
Integrity (I): Partial
Availibility (A): None
Vulnerability Type:CWE-79
Vulnerability Consequences:Gain Access
References:Source: CONFIRM
Type: UNKNOWN
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=584809

Source: MITRE
Type: CNA
CVE-2010-2487

Source: MITRE
Type: CNA
CVE-2010-2969

Source: MITRE
Type: CNA
CVE-2010-2970

Source: CONFIRM
Type: UNKNOWN
http://hg.moinmo.in/moin/1.7/rev/37306fba2189

Source: CONFIRM
Type: UNKNOWN
http://hg.moinmo.in/moin/1.8/raw-file/1.8.8/docs/CHANGES

Source: CONFIRM
Type: UNKNOWN
http://hg.moinmo.in/moin/1.8/rev/4238b0c90871

Source: CONFIRM
Type: UNKNOWN
http://hg.moinmo.in/moin/1.9/raw-file/1.9.3/docs/CHANGES

Source: CONFIRM
Type: UNKNOWN
http://hg.moinmo.in/moin/1.9/rev/68ba3cc79513

Source: CONFIRM
Type: UNKNOWN
http://hg.moinmo.in/moin/1.9/rev/e50b087c4572

Source: MLIST
Type: UNKNOWN
[oss-security] 20100701 CVE request: moin multiple XSS

Source: MLIST
Type: UNKNOWN
[oss-security] 20100702 Re: CVE request: moin multiple XSS

Source: CONFIRM
Type: Exploit, Patch
http://moinmo.in/MoinMoinBugs/1.9.2UnescapedInputForThemeAddMsg

Source: CONFIRM
Type: UNKNOWN
http://moinmo.in/MoinMoinRelease1.8

Source: CONFIRM
Type: UNKNOWN
http://moinmo.in/MoinMoinRelease1.9

Source: CCN
Type: MoinMoin Web Site
Security Fix Announcements

Source: CONFIRM
Type: Vendor Advisory
http://moinmo.in/SecurityFixes

Source: CCN
Type: SA40043
MoinMoin Multiple Cross-Site Scripting Vulnerabilities

Source: SECUNIA
Type: Vendor Advisory
40836

Source: DEBIAN
Type: UNKNOWN
DSA-2083

Source: DEBIAN
Type: DSA-2083
moin -- missing input sanitization

Source: CCN
Type: OSVDB ID: 65065
MoinMoin PageEditor.py template Parameter XSS

Source: CCN
Type: OSVDB ID: 66894
MoinMoin action/SlideShow.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66895
MoinMoin action/anywikidraw.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66896
MoinMoin action/language_setup.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66897
MoinMoin action/LikePages.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66898
MoinMoin action/chart.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66899
MoinMoin action/userprofile.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66900
MoinMoin Page.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66901
MoinMoin PageGraphicalEditor.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66902
MoinMoin action/CopyPage.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66903
MoinMoin action/Load.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66904
MoinMoin action/RenamePage.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66905
MoinMoin action/backup.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66906
MoinMoin action/login.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66907
MoinMoin action/newaccount.py Unspecified Parameter XSS

Source: CCN
Type: OSVDB ID: 66908
MoinMoin action/recoverpass.py Unspecified Parameter XSS

Source: BID
Type: Exploit
40549

Source: CCN
Type: BID-40549
MoinMoin 'PageEditor.py' Cross-Site Scripting Vulnerability

Source: VUPEN
Type: Vendor Advisory
ADV-2010-1981

Source: XF
Type: UNKNOWN
moinmoin-template-xss(59131)

Vulnerable Configuration:Configuration 1:
  • cpe:/a:moinmo:moinmoin:0.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.5:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.6:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.7:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.8:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.9:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.10:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.11:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.5:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.5:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta3:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta4:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta5:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta6:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.3:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.3:rc2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.5:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.5:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.5a:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.6:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.7:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.8:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:beta1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:beta2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:rc2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:beta1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:beta2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:rc2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:rc3:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:*:*:*:*:*:*:*:* (Version <= 1.7.3)

    • Configuration 2:
  • cpe:/a:moinmo:moinmoin:1.8.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.6:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.7:*:*:*:*:*:*:*

    • Configuration 3:
  • cpe:/a:moinmo:moinmoin:1.9.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.2:*:*:*:*:*:*:*

    • * Denotes that component is vulnerable
    Oval Definitions
    Definition IDClassTitleLast Modified
    oval:org.mitre.oval:def:11879
    P
    		DSA-2083-1 moin -- missing input sanitisation
    2014-07-21
    oval:org.mitre.oval:def:13311
    P
    		USN-977-1 -- moin vulnerabilities
    2014-06-30
    oval:org.debian:def:2083
    V
    		missing input sanitization
    2010-08-02
    BACK
    moinmo moinmoin 0.1
    moinmo moinmoin 0.2
    moinmo moinmoin 0.3
    moinmo moinmoin 0.4
    moinmo moinmoin 0.5
    moinmo moinmoin 0.6
    moinmo moinmoin 0.7
    moinmo moinmoin 0.8
    moinmo moinmoin 0.9
    moinmo moinmoin 0.10
    moinmo moinmoin 0.11
    moinmo moinmoin 1.0
    moinmo moinmoin 1.1
    moinmo moinmoin 1.2
    moinmo moinmoin 1.2.1
    moinmo moinmoin 1.2.2
    moinmo moinmoin 1.2.3
    moinmo moinmoin 1.2.4
    moinmo moinmoin 1.3.0
    moinmo moinmoin 1.3.1
    moinmo moinmoin 1.3.2
    moinmo moinmoin 1.3.3
    moinmo moinmoin 1.3.4
    moinmo moinmoin 1.3.5
    moinmo moinmoin 1.3.5 rc1
    moinmo moinmoin 1.4
    moinmo moinmoin 1.5.0
    moinmo moinmoin 1.5.0 beta1
    moinmo moinmoin 1.5.0 beta2
    moinmo moinmoin 1.5.0 beta3
    moinmo moinmoin 1.5.0 beta4
    moinmo moinmoin 1.5.0 beta5
    moinmo moinmoin 1.5.0 beta6
    moinmo moinmoin 1.5.0 rc1
    moinmo moinmoin 1.5.1
    moinmo moinmoin 1.5.2
    moinmo moinmoin 1.5.3
    moinmo moinmoin 1.5.3 rc1
    moinmo moinmoin 1.5.3 rc2
    moinmo moinmoin 1.5.4
    moinmo moinmoin 1.5.5
    moinmo moinmoin 1.5.5 rc1
    moinmo moinmoin 1.5.5a
    moinmo moinmoin 1.5.6
    moinmo moinmoin 1.5.7
    moinmo moinmoin 1.5.8
    moinmo moinmoin 1.6.0
    moinmo moinmoin 1.6.0 beta1
    moinmo moinmoin 1.6.0 beta2
    moinmo moinmoin 1.6.0 rc1
    moinmo moinmoin 1.6.0 rc2
    moinmo moinmoin 1.6.1
    moinmo moinmoin 1.6.2
    moinmo moinmoin 1.6.3
    moinmo moinmoin 1.6.4
    moinmo moinmoin 1.7.0
    moinmo moinmoin 1.7.0 beta1
    moinmo moinmoin 1.7.0 beta2
    moinmo moinmoin 1.7.0 rc1
    moinmo moinmoin 1.7.0 rc2
    moinmo moinmoin 1.7.0 rc3
    moinmo moinmoin 1.7.1
    moinmo moinmoin 1.7.2
    moinmo moinmoin *
    moinmo moinmoin 1.8.0
    moinmo moinmoin 1.8.1
    moinmo moinmoin 1.8.2
    moinmo moinmoin 1.8.3
    moinmo moinmoin 1.8.4
    moinmo moinmoin 1.8.6
    moinmo moinmoin 1.8.7
    moinmo moinmoin 1.9.0
    moinmo moinmoin 1.9.1
    moinmo moinmoin 1.9.2