CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-26800
https://notcve.org/view.php?id=CVE-2021-26800
Cross Site Request Forgery (CSRF) vulnerability in Change-password.php in phpgurukul user management system in php using stored procedure V1.0, allows attackers to change the password to an arbitrary account. Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en el archivo Change-password.php en phpgurukul user management system in php usando procedimiento de almacenamiento versión V1.0, permite a atacantes cambiar la contraseña a una cuenta arbitraria • https://gist.github.com/Kavisha3/59dac95b268f0d32eab53e659ab59311 https://phpgurukul.com/user-management-system-in-php-using-stored-procedure • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-43692
https://notcve.org/view.php?id=CVE-2021-43692
youtube-php-mirroring (last update Jun 9, 2017) is affected by a Cross Site Scripting (XSS) vulnerability in file ytproxy/index.php. youtube-php-mirroring (última actualización 9 de junio de 2017) está afectado por una vulnerabilidad de Cross Site Scripting (XSS) en el archivo ytproxy/index.php • https://github.com/zxq2233/youtube-php-mirroring/issues/3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 7EXPL: 1CVE-2021-21707 – Special characters break path parsing in XML functions
https://notcve.org/view.php?id=CVE-2021-21707
In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended. En PHP versiones 7.3.x anteriores a 7.3.33, 7.4.x anteriores a 7.4.26 y 8.0.x anteriores a 8.0.13, determinadas funciones de análisis de XML, como simplexml_load_file(), decodifican el nombre de archivo que les es pasado. Si ese nombre de archivo contiene un carácter NUL codificado en la URL, esto puede causar que la función lo interprete como el final del nombre de archivo, interpretando así el nombre de archivo de forma diferente a la que el usuario pretendía, lo que puede conllevar a una lectura de un archivo diferente al deseado A flaw was found in php. The main cause of this vulnerability is improper input validation while parsing an Extensible Markup Language(XML) entity. • https://bugs.php.net/bug.php?id=79971 https://lists.debian.org/debian-lts-announce/2022/12/msg00030.html https://security.netapp.com/advisory/ntap-20211223-0005 https://www.debian.org/security/2022/dsa-5082 https://www.tenable.com/security/tns-2022-09 https://access.redhat.com/security/cve/CVE-2021-21707 https://bugzilla.redhat.com/show_bug.cgi?id=2026045 • CWE-20: Improper Input Validation CWE-159: Improper Handling of Invalid Use of Special Elements •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2021-42078 – PHP Event Calendar Lite Edition Cross Site Scripting
https://notcve.org/view.php?id=CVE-2021-42078
PHP Event Calendar through 2021-11-04 allows persistent cross-site scripting (XSS), as demonstrated by the /server/ajax/events_manager.php title parameter. This can be exploited by an adversary in multiple ways, e.g., to perform actions on the page in the context of other users, or to deface the site. PHP Event Calendar versiones hasta el 04-11-2021 permite un ataque de tipo cross-site scripting (XSS) persistente, como es demostrado por el parámetro de título /server/ajax/events_manager.php. Esto puede ser explotado por un adversario de múltiples maneras, por ejemplo, para llevar a cabo acciones en la página en el contexto de otros usuarios, o para desfigurar el sitio PHP Event Calendar Lite Edition suffers from a persistent cross site scripting vulnerability. • http://seclists.org/fulldisclosure/2021/Nov/24 https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2021-049.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-18263
https://notcve.org/view.php?id=CVE-2020-18263
PHP-CMS v1.0 was discovered to contain a SQL injection vulnerability in the component search.php via the search parameter. This vulnerability allows attackers to access sensitive database information. Se ha detectado que PHP-CMS versión v1.0, contiene una vulnerabilidad de inyección SQL en el componente search.php por medio del parámetro search. Esta vulnerabilidad permite a atacantes acceder a información confidencial de la base de datos • https://github.com/harshitbansal373/PHP-CMS/issues/1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •