CVE-2021-27885 – e107 CMS 2.3.0 - CSRF
https://notcve.org/view.php?id=CVE-2021-27885
usersettings.php in e107 through 2.3.0 lacks a certain e_TOKEN protection mechanism. El archivo usersettings.php en e107 hasta la versión 2.3.0, carece de cierto mecanismo de protección e_TOKEN e107 CMS version 2.3.0 suffers from a cross site request forgery vulnerability. • https://www.exploit-db.com/exploits/49614 http://packetstormsecurity.com/files/161651/e107-CMS-2.3.0-Cross-Site-Request-Forgery.html https://github.com/e107inc/e107/commit/d9efdb9b5f424b4996c276e754a380a5e251f472 https://github.com/e107inc/e107/releases • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-11734
https://notcve.org/view.php?id=CVE-2018-11734
In e107 v2.1.7, output without filtering results in XSS. En e107 versión v2.1.7, una salida sin filtrar resulta en un problema de tipo XSS. • https://github.com/e107inc/e107/issues/3170 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-17423
https://notcve.org/view.php?id=CVE-2018-17423
An issue was discovered in e107 v2.1.9. There is a XSS attack on e107_admin/comment.php. Se detecto un problema en e107 v2.1.9. Existe un ataque XSS en e107_admin / comment.php. • https://github.com/Kiss-sh0t/e107_v2.1.9_XSS_poc https://github.com/e107inc/e107/issues/3414 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2016-10753
https://notcve.org/view.php?id=CVE-2016-10753
e107 2.1.2 allows PHP Object Injection with resultant SQL injection, because usersettings.php uses unserialize without an HMAC. e107 versión 2.1.2, permite la inyección de objetos PHP teniendo como resultado la inyección SQL, porque el archivo usersettings.php usa deserialización sin un HMAC. • https://blog.ripstech.com/2016/e107-sql-injection-through-object-injection https://demo.ripstech.com/projects/e107_2.1.2 • CWE-502: Deserialization of Untrusted Data •
CVE-2018-17081
https://notcve.org/view.php?id=CVE-2018-17081
e107 2.1.9 allows CSRF via e107_admin/wmessage.php?mode=&action=inline&ajax_used=1&id= for changing the title of an arbitrary page. e107 2.1.9 permite Cross-Site Request Forgery (CSRF) mediante e107_admin/wmessage.php?mode=action=inlineajax_used=1id= para cambiar el título de una página arbitraria. • https://github.com/himanshurahi/e107_2.1.9_CSRF_POC • CWE-352: Cross-Site Request Forgery (CSRF) •