Page 16 of 99 results (0.006 seconds)

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

Cross-site scripting (XSS) vulnerability in the image upload function in Piwigo before 2.8.6 allows remote attackers to inject arbitrary web script or HTML via a crafted image filename. Vulnerabilidad XSS en la función de carga de imágenes en Piwigo en versiones anteriores a 2.8.6 permite a un atacantes inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de archivo de imagen manipulado. • http://piwigo.org/releases/2.8.6 http://www.securityfocus.com/bid/95848 https://github.com/Piwigo/Piwigo/commit/6ec3f2d0fae0437f0c2cc8c475a26fb6aeb0d4cb https://github.com/Piwigo/Piwigo/issues/600 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

admin/plugin.php in Piwigo through 2.8.3 doesn't validate the sections variable while using it to include files. This can cause information disclosure and code execution if it contains a .. sequence. admin/plugin.php en Piwigo hasta la versión 2.8.3 no valida el variable de secciones al usarlo para incluir archivos. Esto puede provocar la divulgación de información y la ejecución de código si contiene una secuencia .. . • http://www.securityfocus.com/bid/95202 https://github.com/Piwigo/Piwigo/commit/8796e43aa344681d92a92e1f9b985409d4f36e31 https://github.com/Piwigo/Piwigo/commit/9004fdfc0b4a11cb32e9e15a5f67e4ec827e82dc https://github.com/Piwigo/Piwigo/issues/574#issuecomment-267938358 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-284: Improper Access Control •

CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0

admin/languages.php in Piwigo through 2.8.3 allows remote authenticated administrators to conduct File Inclusion attacks via the tab parameter. admin/languages.php en Piwigo hasta la versión 2.8.3 permite a administradores remotos autenticados llevar a cabo ataques File Inclusion a través del parámetro tab. • http://www.securityfocus.com/bid/95167 https://github.com/Piwigo/Piwigo/commit/4b33a0fd199fd445b15a49927ea6a9a153e3877d https://github.com/Piwigo/Piwigo/issues/573#issuecomment-267974558 • CWE-284: Improper Access Control •

CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0

admin/batch_manager.php in Piwigo through 2.8.3 allows remote authenticated administrators to conduct File Inclusion attacks via the $page['tab'] variable (aka the mode parameter). admin/batch_manager.php en Piwigo hasta la versión 2.8.3 permite a administradores remotos autenticados llevar a cabo ataques File Inclusion a través de la variable $page['tab'] (también conocido como el parámetro mode). • http://www.securityfocus.com/bid/95164 https://github.com/Piwigo/Piwigo/commit/9dd92959f6975099e0c62163a846a4648a6a920f https://github.com/Piwigo/Piwigo/issues/572#issuecomment-268252202 • CWE-284: Improper Access Control •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

Cross-site scripting (XSS) vulnerability in admin/plugin.php in Piwigo through 2.8.3 allows remote attackers to inject arbitrary web script or HTML via a crafted filename that is mishandled in a certain error case. Vulnerabilidad de XSS en admin/plugin.php en Piwigo hasta la versión 2.8.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de archivo manipulado que se maneja de manera incorrecta en un cierto caso de error. • http://www.securityfocus.com/bid/95166 https://github.com/Piwigo/Piwigo/commit/7df3830c81716b959a2d0d3a0d8216b860ae0dc7 https://github.com/Piwigo/Piwigo/issues/575 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •