CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23184
https://notcve.org/view.php?id=CVE-2020-23184
02 Jul 2021 — A stored cross site scripting (XSS) vulnerability in /administration/settings_registration.php of PHP-Fusion 9.03.60 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Registration" field. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en el archivo /administration/settings_registration.php de PHP-Fusion versión 9.03.60, permite a atacantes autenticados ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada i... • https://github.com/phpfusion/PHPFusion/issues/2323 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23182
https://notcve.org/view.php?id=CVE-2020-23182
02 Jul 2021 — The component /php-fusion/infusions/shoutbox_panel/shoutbox_archive.php in PHP-Fusion 9.03.60 allows attackers to redirect victim users to malicious websites via a crafted payload entered into the Shoutbox message panel. El archivo /php-fusion/infusions/shoutbox_panel/shoutbox_archive.php de PHP-Fusion versión 9.03.60, permite a atacantes redirigir a los usuarios víctimas a sitios web maliciosos por medio de una carga útil diseñada introducida en el panel de mensajes de Shoutbox • https://github.com/phpfusion/PHPFusion/issues/2329 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23181
https://notcve.org/view.php?id=CVE-2020-23181
02 Jul 2021 — A reflected cross site scripting (XSS) vulnerability in /administration/theme.php of PHP-Fusion 9.03.60 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Manage Theme" field. Una vulnerabilidad de tipo cross site scripting (XSS) reflejada en el archivo /administration/theme.php de PHP-Fusion versión 9.03.60, permite a atacantes autenticados ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Manage... • https://github.com/phpfusion/PHPFusion/issues/2326 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23179
https://notcve.org/view.php?id=CVE-2020-23179
02 Jul 2021 — A stored cross site scripting (XSS) vulnerability in administration/settings_main.php of PHP-Fusion 9.03.50 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Site footer" field. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en el archivo administration/settings_main.php de PHP-Fusion versión 9.03.50, permite a atacantes autenticados ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el ca... • https://github.com/PHPFusion/PHPFusion/issues/2320 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23178
https://notcve.org/view.php?id=CVE-2020-23178
02 Jul 2021 — An issue exists in PHP-Fusion 9.03.50 where session cookies are not deleted once a user logs out, allowing for an attacker to perform a session replay attack and impersonate the victim user. Se presenta un problema en PHP-Fusion versión 9.03.50, donde las cookies de sesión no son eliminadas una vez que el usuario cierra la sesión, permitiendo a un atacante llevar a cabo un ataque de repetición de sesión y hacerse pasar por el usuario víctima • https://github.com/PHPFusion/PHPFusion/issues/2314 • CWE-294: Authentication Bypass by Capture-replay •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-29399
https://notcve.org/view.php?id=CVE-2021-29399
19 Apr 2021 — XMB is vulnerable to cross-site scripting (XSS) due to inadequate filtering of BBCode input. This bug affects all versions of XMB. All XMB installations must be updated to versions 1.9.12.03 or 1.9.11.16. XMB es vulnerable a un ataque de tipo cross-site scripting (XSS) debido a un filtrado inadecuado de la entrada de BBCode. Este bug afecta a todas las versiones de XMB. • https://docs.xmbforum2.com/index.php?title=Security_Issue_History • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2021-21702 – Null Dereference in SoapClient
https://notcve.org/view.php?id=CVE-2021-21702
15 Feb 2021 — In PHP versions 7.3.x below 7.3.27, 7.4.x below 7.4.15 and 8.0.x below 8.0.2, when using SOAP extension to connect to a SOAP server, a malicious SOAP server could return malformed XML data as a response that would cause PHP to access a null pointer and thus cause a crash. En PHP versiones 7.3.x por debajo de 7.3.27, 7.4.x por debajo de 7.4.15 y 8.0.x por debajo de 8.0.2, cuando se usa la extensión SOAP para conectarse a un servidor SOAP, un servidor SOAP malicioso podría devolver datos XML malformados como ... • https://bugs.php.net/bug.php?id=80672 • CWE-476: NULL Pointer Dereference •
CVSS: 5.3EPSS: 6%CPEs: 6EXPL: 1CVE-2020-7071 – FILTER_VALIDATE_URL accepts URLs with invalid userinfo
https://notcve.org/view.php?id=CVE-2020-7071
15 Feb 2021 — In PHP versions 7.3.x below 7.3.26, 7.4.x below 7.4.14 and 8.0.0, when validating URL with functions like filter_var($url, FILTER_VALIDATE_URL), PHP will accept an URL with invalid password as valid URL. This may lead to functions that rely on URL being valid to mis-parse the URL and produce wrong data as components of the URL. En PHP versiones 7.3.x por debajo de 7.3.26, 7.4.x por debajo de 7.4.14 y 8.0.0, cuando se comprueba una URL con funciones como filter_var ($url, FILTER_VALIDATE_URL), PHP aceptará u... • https://bugs.php.net/bug.php?id=77423 • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35952
https://notcve.org/view.php?id=CVE-2020-35952
03 Jan 2021 — login.php in PHPFusion (aka PHP-Fusion) Andromeda 9.x before 2020-12-30 generates error messages that distinguish between incorrect username and incorrect password (i.e., not a single "Incorrect username or password" message in both cases), which might allow enumeration. El archivo login.php en PHPFusion (también se conoce como PHP-Fusion) Andromeda versión 9.x antes del 30-12-2020 genera mensajes de error que distinguen entre un nombre de usuario incorrecto y una contraseña incorrecta (es decir, ni un solo... • https://github.com/PHPFusion/PHPFusion/issues/2346 •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2020-25955 – Student Management System Project PHP 1.0 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2020-25955
08 Dec 2020 — SourceCodester Student Management System Project in PHP version 1.0 is vulnerable to stored a cross-site scripting (XSS) via the 'add subject' tab. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) en SourceCodester Student Management System Project en PHP versión 1.0, por medio de la pestaña "add subject" Student Management System PHP version 1.0 suffers from a persistent cross site scripting vulnerability. • https://packetstorm.news/files/id/160398 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •