CVSS: 6.8EPSS: 0%CPEs: 29EXPL: 0CVE-2010-0289
https://notcve.org/view.php?id=CVE-2010-0289
Multiple cross-site request forgery (CSRF) vulnerabilities in the ACL Manager plugin (plugins/acl/ajax.php) in DokuWiki before 2009-12-25c allow remote attackers to hijack the authentication of administrators for requests that modify access control rules, and other unspecified requests, via unknown vectors. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el plugin ACL Manager (plugins/acl/ajax.php) de DokuWiki en versiones anteriores a la v2009-12-25c. Permiten a atacantes remotos secuestrar la autenticación de los administradores para peticiones que modifican el acceso a las reglas de control de acceso, y otras peticiones sin especificar, a través de vectores de ataque desconocidos. • http://bugs.splitbrain.org/index.php?do=details&task_id=1853 http://freshmeat.net/projects/dokuwiki/tags/security-fix http://lists.fedoraproject.org/pipermail/package-announce/2010-February/034729.html http://lists.fedoraproject.org/pipermail/package-announce/2010-February/034831.html http://osvdb.org/61708 http://secunia.com/advisories/38205 http://security.gentoo.org/glsa/glsa-201301-07.xml http://www.debian.org/security/2010/dsa-1976 http://www.splitbrain.org/blog/2010-01/17-dok • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.3EPSS: 17%CPEs: 3EXPL: 2CVE-2009-1960 – Dokuwiki 2009-02-14 - Local File Inclusion
https://notcve.org/view.php?id=CVE-2009-1960
inc/init.php in DokuWiki 2009-02-14, rc2009-02-06, and rc2009-01-30, when register_globals is enabled, allows remote attackers to include and execute arbitrary local files via the config_cascade[main][default][] parameter to doku.php. NOTE: PHP remote file inclusion is also possible in PHP 5 using ftp:// URLs. inc/init.php de DokuWiki 2009-02-14, rc2009-02-06 y rc2009-01-30, cuando register_globals está habilitado, permite a atacantes remotos incluir y ejecutar ficheros locales de su elección a través del parámetro config_cascade[main][default][] de doku.php. NOTA: también es posible una inclusión remota de fichero PHP en PHP v5 que utilice URLs ftp://. • https://www.exploit-db.com/exploits/8781 https://www.exploit-db.com/exploits/8812 http://bugs.splitbrain.org/index.php?do=details&task_id=1700 http://dev.splitbrain.org/darcsweb/darcsweb.cgi?r=dokuwiki%3Ba=commitdiff%3Bh=20090526145030-7ad00-c0483e021f47898c8597f3bfbdd26c637f891d86.gz http://secunia.com/advisories/35218 http://www.securityfocus.com/bid/35095 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 1%CPEs: 27EXPL: 1CVE-2006-4675
https://notcve.org/view.php?id=CVE-2006-4675
Unrestricted file upload vulnerability in lib/exe/media.php in DokuWiki before 2006-03-09c allows remote attackers to upload executable files into the data/media folder via unspecified vectors. Vulnerabilidad de actualización de archivo no restringida en lib/exe/media.php en DokuWiki anterior a 09/03/2006 permite a un atacante remoto actualizar archivos ejecutables dentro de la carpeta data/media a través de vectores no especificados. • http://retrogod.altervista.org/dokuwiki_2006-03-09b_cmd.html http://secunia.com/advisories/21819 http://secunia.com/advisories/21936 http://security.gentoo.org/glsa/glsa-200609-10.xml http://securityreason.com/securityalert/1537 http://www.securityfocus.com/archive/1/445516/100/0/threaded •
CVSS: 7.5EPSS: 1%CPEs: 27EXPL: 1CVE-2006-4674
https://notcve.org/view.php?id=CVE-2006-4674
Direct static code injection vulnerability in doku.php in DokuWiki before 2006-030-09c allows remote attackers to execute arbitrary PHP code via the X-FORWARDED-FOR HTTP header, which is stored in config.php. Vulnerabilidad de inyección de código estático directo en doku.php en DokuWiki anterior a 30/09/2006 permite a un atacante remoto ejecutar código PHP de su elección a través de la cabecera X-FORWARDED-FOR HTTP, la cual está almancenada en config.php. • http://bugs.splitbrain.org/index.php?do=details&id=906 http://retrogod.altervista.org/dokuwiki_2006-03-09b_cmd.html http://secunia.com/advisories/21819 http://secunia.com/advisories/21936 http://security.gentoo.org/glsa/glsa-200609-10.xml http://securityreason.com/securityalert/1537 http://www.securityfocus.com/archive/1/445516/100/0/threaded •
CVSS: 5.0EPSS: 0%CPEs: 27EXPL: 1CVE-2006-4679
https://notcve.org/view.php?id=CVE-2006-4679
DokuWiki before 2006-03-09c enables the debug feature by default, which allows remote attackers to obtain sensitive information by calling doku.php with the X-DOKUWIKI-DO HTTP header set to "debug". DokuWiki anterior al 9/03/2006 habilita la característica de depuración, lo cual permite a un atacante remoto obtener información sensible a través de la llamada a doku.php con la cabecera X-DOKUWIKI-DO HTTP fija el "depurador". • http://retrogod.altervista.org/dokuwiki_2006-03-09b_cmd.html http://secunia.com/advisories/21936 http://security.gentoo.org/glsa/glsa-200609-10.xml http://securityreason.com/securityalert/1537 http://www.securityfocus.com/archive/1/445516/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/28819 •