CVSS: 8.8EPSS: 0%CPEs: 18EXPL: 0CVE-2017-1000148
https://notcve.org/view.php?id=CVE-2017-1000148
Mahara 15.04 before 15.04.8 and 15.10 before 15.10.4 and 16.04 before 16.04.2 are vulnerable to PHP code execution as Mahara would pass portions of the XML through the PHP "unserialize()" function when importing a skin from an XML file. Mahara, en versiones 15.04 anteriores a la 15.04.8, versiones 15.10 anteriores a la 15.10.4 y versiones 16.04 anteriores a la 16.04.2, es vulnerable a la ejecución de código PHP, debido a que Mahara pasaría fragmentos del código XML mediante la función PHP "unserialize()" cuando se importa una máscara desde un archivo XML. • https://bugs.launchpad.net/mahara/+bug/1508684 • CWE-502: Deserialization of Untrusted Data •
CVSS: 5.4EPSS: 0%CPEs: 42EXPL: 0CVE-2017-15273
https://notcve.org/view.php?id=CVE-2017-15273
Mahara 15.04 before 15.04.15, 16.04 before 16.04.9, 16.10 before 16.10.6, and 17.04 before 17.04.4 are vulnerable to a user submitting a potential dangerous payload, e.g., XSS code, to be saved as titles in internal artefacts. Mahara, en versiones 15.04 anteriores a la 15.04.15, versiones 16.04 anteriores a la 16.04.9, versiones 16.10 anteriores a la 16.10.6 y versiones 17.04 anteriores a la 17.04.4, es vulnerable a que un usuario envíe un payload potencialmente peligroso (como código XSS) para que se guarde como títulos en artefactos internos. • https://bugs.launchpad.net/mahara/+bug/1719472 https://bugs.launchpad.net/mahara/+bug/1719480 https://bugs.launchpad.net/mahara/+bug/1720034 https://mahara.org/interaction/forum/topic.php?id=8081 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 38EXPL: 0CVE-2017-14163
https://notcve.org/view.php?id=CVE-2017-14163
An issue was discovered in Mahara before 15.04.14, 16.x before 16.04.8, 16.10.x before 16.10.5, and 17.x before 17.04.3. When one closes the browser without logging out of Mahara, the value in the usr_session table is not removed. If someone were to open a browser, visit the Mahara site, and adjust the 'mahara' cookie to the old value, they can get access to the user's account. Se ha descubierto un problema en Mahara, en versiones anteriores a la 15.04.14, versiones 16.x anteriores a la 16.04.8, versiones 16.10.x anteriores a la 16.10.5 y versiones 17.x anteriores a la 17.04.3. Cuando un usuario cierra el navegador sin cerrar sesión en Mahara, no se elimina el valor en la tabla usr_session. • https://bugs.launchpad.net/mahara/+bug/1701978 • CWE-384: Session Fixation •
CVSS: 5.4EPSS: 0%CPEs: 42EXPL: 0CVE-2017-14752
https://notcve.org/view.php?id=CVE-2017-14752
Mahara 15.04 before 15.04.15, 16.04 before 16.04.9, 16.10 before 16.10.6, and 17.04 before 17.04.4 are vulnerable to a user submitting a potential dangerous payload, e.g., XSS code, to be saved as their first name, last name, or display name in the profile fields that can cause issues such as escalation of privileges or unknown execution of malicious code when replying to messages in Mahara. Mahara, en versiones 15.04 anteriores a la 15.04.15, versiones 16.04 anteriores a la 16.04.9, versiones 16.10 anteriores a la 16.10.6 y versiones 17.04 anteriores a la 17.04.4, es vulnerable a que un usuario envíe un payload potencialmente peligroso (por ejemplo, código XSS) para que se guarde como su nombre, apellido o el nombre para mostrar en los campos de perfil. Esto puede dar lugar a problemas como el escalado de privilegios o a la ejecución desconocida de código malicioso cuando se responde a mensajes en Mahara. • https://bugs.launchpad.net/mahara/+bug/1719491 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 38EXPL: 0CVE-2017-9551
https://notcve.org/view.php?id=CVE-2017-9551
Mahara 15.04 before 15.04.14 and 16.04 before 16.04.8 and 16.10 before 16.10.5 and 17.04 before 17.04.3 are vulnerable to a user submitting potential dangerous payload, e.g. XSS code, to be saved as their name in the usr_registration table. The values are then emailed to the the user and administrator and if accepted become part of the new user's account. Mahara en versiones 15.04 anteriores a la 15.04.14, 16.04 anteriores a la 16.04.8, 16.10 anteriores a la 16.10.5, 17.04 anteriores a la 17.04.3 es vulnerable a que un usuario envíe una carga útil potencialmente peligrosa, como por ejemplo un código XSS, que se vaya a guardar como su nombre en la tabla usr_registration. Los valores se envían por correo electrónico a continuación al usuario y administrador y, si se aceptan, formarían parte de la nueva cuenta de usuario. • https://bugs.launchpad.net/mahara/+bug/1697308 https://mahara.org/interaction/forum/topic.php?id=8040 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •