CVE-2021-25045 – Asgaros Forum < 1.15.15 - Admin+ SQL Injection via forum_id
https://notcve.org/view.php?id=CVE-2021-25045
The Asgaros Forum WordPress plugin before 1.15.15 does not validate or escape the forum_id parameter before using it in a SQL statement when editing a forum, leading to an SQL injection issue El plugin Asgaros Forum de WordPress versiones anteriores a 1.15.15, no comprueba ni escapa del parámetro forum_id antes de usarlo en una sentencia SQL cuando es editado un foro, conllevando a un problema de inyección SQL • https://plugins.trac.wordpress.org/changeset/2642215 https://wpscan.com/vulnerability/c60a3d40-449c-4c84-8d13-68c04267c1d7 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2021-42365 – Asgaros Forums <= 1.15.13 Authenticated Stored XSS
https://notcve.org/view.php?id=CVE-2021-42365
The Asgaros Forums WordPress plugin is vulnerable to Stored Cross-Site Scripting due to insufficient escaping via the name parameter found in the ~/admin/tables/admin-structure-table.php file which allowed attackers with administrative user access to inject arbitrary web scripts, in versions up to and including 1.15.13. This affects multi-site installations where unfiltered_html is disabled for administrators, and sites where unfiltered_html is disabled. El plugin Asgaros Forums de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a un escape insuficiente por medio del parámetro name encontrado en el archivo ~/admin/tables/admin-structure-table.php que permitía a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta 1.15.13 incluyéndola. Esto afecta a las instalaciones multisitio en las que unfiltered_html está deshabilitado para administradores, y los sitios en los que unfiltered_html está deshabilitado • https://plugins.trac.wordpress.org/changeset/2635143/asgaros-forum/trunk/admin/tables/admin-structure-table.php https://wordfence.com/vulnerability-advisories/#CVE-2021-42365 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-24827 – Asgaros Forum < 1.15.13 - Unauthenticated SQL Injection
https://notcve.org/view.php?id=CVE-2021-24827
The Asgaros Forum WordPress plugin before 1.15.13 does not validate and escape user input when subscribing to a topic before using it in a SQL statement, leading to an unauthenticated SQL injection issue El plugin Asgaros Forum de WordPress versiones anteriores a 1.15.13, no comprueba ni escapa de la entrada del usuario cuando se suscribe a un tema antes de usarlo en una sentencia SQL, conllevando a un problema de inyección SQL no autenticado • https://plugins.trac.wordpress.org/changeset/2611560/asgaros-forum https://wpscan.com/vulnerability/36cc5151-1d5e-4874-bcec-3b6326235db1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •