CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2024-35203
https://notcve.org/view.php?id=CVE-2024-35203
26 Aug 2025 — Mahara before 22.10.6, 23.04.6, and 24.04.1 allows cross-site scripting (XSS) via a file, with JavaScript code as part of its name, that is uploaded via the Mahara filebrowser system. Mahara anterior a 22.10.6, 23.04.6 y 24.04.1 permite cross-site scripting (XSS) a través de un archivo, con código JavaScript como parte de su nombre, que se carga mediante el sistema de exploración de archivos de Mahara. • https://git.mahara.org/catalyst-security/mahara-security/-/merge_requests/6 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.4EPSS: 0%CPEs: 2EXPL: 0CVE-2024-45753
https://notcve.org/view.php?id=CVE-2024-45753
26 Aug 2025 — In Mahara 23.04.8 and 24.04.4, the external RSS feed block can cause XSS if the external feed XML has a malicious value for the link attribute. En Mahara 23.04.8 y 24.04.4, el bloqueo de la fuente RSS externa puede provocar XSS si el XML de la fuente externa tiene un valor malicioso para el atributo de enlace. • https://mahara.org • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2024-47192
https://notcve.org/view.php?id=CVE-2024-47192
26 Aug 2025 — An issue was discovered in Mahara 23.04.8 and 24.04.4. The use of a malicious export download URL can allow an attacker to download files that they do not have permission to download. Se detectó un problema en Mahara 23.04.8 y 24.04.4. El uso de una URL de descarga de exportación maliciosa puede permitir que un atacante descargue archivos para los que no tiene permiso. • https://mahara.org/interaction/forum/topic.php?id=9594 • CWE-494: Download of Code Without Integrity Check •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2025-29992
https://notcve.org/view.php?id=CVE-2025-29992
26 Aug 2025 — Mahara before 24.04.9 exposes database connection information if the database becomes unreachable, e.g., due to the database server being temporarily down or too busy. Mahara anterior al 24.04.9 expone información de conexión de la base de datos si la base de datos se vuelve inaccesible, por ejemplo, debido a que el servidor de la base de datos está temporalmente inactivo o demasiado ocupado. • https://mahara.org/THE-FINAL-URL-IN-QUESTION • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2024-47853
https://notcve.org/view.php?id=CVE-2024-47853
26 Aug 2025 — An issue was discovered in Mahara 23.04.8 and 24.04.4. Attackers may utilize escalation of privileges in certain cases when logging into Mahara with Learning Tools Interoperability (LTI). Se detectó un problema en Mahara 23.04.8 y 24.04.4. Los atacantes podrían usar la escalada de privilegios en ciertos casos al iniciar sesión en Mahara con Learning Tools Interoperability (LTI). • https://mahara.org/interaction/forum/topic.php?id=9594 • CWE-269: Improper Privilege Management •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-47799
https://notcve.org/view.php?id=CVE-2023-47799
25 Aug 2025 — Mahara before 22.10.4 and 23.x before 23.04.4 allows information disclosure if the experimental HTML bulk export is used via the administration interface or via the CLI, and the resulting export files are given to the account holders. They may contain images of other account holders because the cache is not cleared after the files of one account are exported. Mahara, versiones anteriores a la 22.10.4 y 23.x, versiones anteriores a la 23.04.4, permite la divulgación de información si se utiliza la exportació... • https://git.mahara.org/catalyst-security/mahara-security/-/issues/2 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2022-29585
https://notcve.org/view.php?id=CVE-2022-29585
28 Apr 2022 — In Mahara before 20.10.5, 21.04.4, 21.10.2, and 22.04.0, a site using Isolated Institutions is vulnerable if more than ten groups are used. They are all shown from page 2 of the group results list (rather than only being shown for the institution that the viewer is a member of). En Mahara versiones anteriores a 20.10.5, 21.04.4, 21.10.2 y 22.04.0, un sitio usando Instituciones Aisladas es vulnerable si son usados más de diez grupos. Todos ellos son mostrados a partir de la página 2 de la lista de resultados... • https://bugs.launchpad.net/mahara/+bug/1922226 • CWE-276: Incorrect Default Permissions •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2022-29584
https://notcve.org/view.php?id=CVE-2022-29584
28 Apr 2022 — Mahara before 20.10.5, 21.04.4, 21.10.2, and 22.04.0 allows stored XSS when a particular Cascading Style Sheets (CSS) class for embedly is used, and JavaScript code is constructed to perform an action. Mahara versiones anteriores a 20.10.5, 21.04.4, 21.10.2 y 22.04.0, permite un ataque de tipo XSS almacenado cuando es usado una clase particular de Hojas de Estilo en Cascada (CSS) para embedly y es construido código JavaScript para llevar a cabo una acción • https://bugs.launchpad.net/mahara/+bug/1968920 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2022-28892
https://notcve.org/view.php?id=CVE-2022-28892
28 Apr 2022 — Mahara before 20.10.5, 21.04.4, 21.10.2, and 22.04.0 is vulnerable to Cross Site Request Forgery (CSRF) because randomly generated tokens are too easily guessable. Mahara versiones anteriores a 20.10.5, 21.04.4, 21.10.2 y 22.04.0 es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF) porque los tokens generados aleatoriamente son muy fáciles de adivinar • https://bugs.launchpad.net/mahara/+bug/1930171 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-40849
https://notcve.org/view.php?id=CVE-2021-40849
03 Nov 2021 — In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, the account associated with a web services token is vulnerable to being exploited and logged into, resulting in information disclosure (at a minimum) and often escalation of privileges. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, la cuenta asociada a un token de servicios web es vulnerable a ser explotada y a iniciar sesión, resultando en una divulgación de información (como mínimo) y a menudo en una escalada de privilegios • https://bugs.launchpad.net/mahara/+bug/1930469 • CWE-613: Insufficient Session Expiration •