CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-27885 – e107 CMS 2.3.0 - CSRF
https://notcve.org/view.php?id=CVE-2021-27885
02 Mar 2021 — usersettings.php in e107 through 2.3.0 lacks a certain e_TOKEN protection mechanism. El archivo usersettings.php en e107 hasta la versión 2.3.0, carece de cierto mecanismo de protección e_TOKEN e107 CMS version 2.3.0 suffers from a cross site request forgery vulnerability. • https://packetstorm.news/files/id/161651 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-11734
https://notcve.org/view.php?id=CVE-2018-11734
10 Jul 2019 — In e107 v2.1.7, output without filtering results in XSS. En e107 versión v2.1.7, una salida sin filtrar resulta en un problema de tipo XSS. • https://github.com/e107inc/e107/issues/3170 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-17423
https://notcve.org/view.php?id=CVE-2018-17423
19 Jun 2019 — An issue was discovered in e107 v2.1.9. There is a XSS attack on e107_admin/comment.php. Se detecto un problema en e107 v2.1.9. Existe un ataque XSS en e107_admin / comment.php. • https://github.com/Kiss-sh0t/e107_v2.1.9_XSS_poc • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2016-10753
https://notcve.org/view.php?id=CVE-2016-10753
24 May 2019 — e107 2.1.2 allows PHP Object Injection with resultant SQL injection, because usersettings.php uses unserialize without an HMAC. e107 versión 2.1.2, permite la inyección de objetos PHP teniendo como resultado la inyección SQL, porque el archivo usersettings.php usa deserialización sin un HMAC. • https://blog.ripstech.com/2016/e107-sql-injection-through-object-injection • CWE-502: Deserialization of Untrusted Data •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2018-17081
https://notcve.org/view.php?id=CVE-2018-17081
26 Sep 2018 — e107 2.1.9 allows CSRF via e107_admin/wmessage.php?mode=&action=inline&ajax_used=1&id= for changing the title of an arbitrary page. e107 2.1.9 permite Cross-Site Request Forgery (CSRF) mediante e107_admin/wmessage.php?mode=action=inlineajax_used=1id= para cambiar el título de una página arbitraria. • https://github.com/himanshurahi/e107_2.1.9_CSRF_POC • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16388
https://notcve.org/view.php?id=CVE-2018-16388
12 Sep 2018 — e107_web/js/plupload/upload.php in e107 2.1.8 allows remote attackers to execute arbitrary PHP code by uploading a .php filename with the image/jpeg content type. e107_web/js/plupload/upload.php en e107 2.1.8 permite que atacantes remotos ejecuten código PHP arbitrario mediante la subida de un nombre de archivo .php con el tipo de contenido image/jpeg. • https://gist.github.com/ommadawn46/5cb22e7c66cc32a5c7734a8064b4d3f5 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16389
https://notcve.org/view.php?id=CVE-2018-16389
12 Sep 2018 — e107_admin/banlist.php in e107 2.1.8 allows SQL injection via the old_ip parameter. e107_admin/banlist.php en e107 2.1.8 permite la inyección SQL mediante el parámetro old_ip • https://gist.github.com/ommadawn46/51e08e13e6980dcbcffb4322c29b93d0 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16381
https://notcve.org/view.php?id=CVE-2018-16381
05 Sep 2018 — e107 2.1.8 has XSS via the e107_admin/users.php?mode=main&action=list user_loginname parameter. e107 2.1.8 tiene Cross-Site Scripting (XSS) mediante el parámetro user_loginname en e107_admin/users.php?mode=mainaction=list. • https://github.com/dhananjay-bajaj/E107-v2.1.8-XSS-POC • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-15901
https://notcve.org/view.php?id=CVE-2018-15901
28 Aug 2018 — e107 2.1.8 has CSRF in 'usersettings.php' with an impact of changing details such as passwords of users including administrators. e107 2.1.8 tiene Cross-Site Request Forgery (CSRF) en "usersettings.php" que afecta al cambio de detalles como las contraseñas de los usuarios, incluyendo a los administradores. • https://github.com/dhananjay-bajaj/e107_2.1.8_csrf • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-11127
https://notcve.org/view.php?id=CVE-2018-11127
15 May 2018 — e107 2.1.7 has CSRF resulting in arbitrary user deletion. e107 2.1.7 tiene Cross-Site Request Forgery (CSRF) que resulta en la eliminación de usuarios arbitrarios. • https://github.com/e107inc/e107/issues/3128 • CWE-352: Cross-Site Request Forgery (CSRF) •