CVE-2018-17423
https://notcve.org/view.php?id=CVE-2018-17423
An issue was discovered in e107 v2.1.9. There is a XSS attack on e107_admin/comment.php. Se detecto un problema en e107 v2.1.9. Existe un ataque XSS en e107_admin / comment.php. • https://github.com/Kiss-sh0t/e107_v2.1.9_XSS_poc https://github.com/e107inc/e107/issues/3414 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2016-10753
https://notcve.org/view.php?id=CVE-2016-10753
e107 2.1.2 allows PHP Object Injection with resultant SQL injection, because usersettings.php uses unserialize without an HMAC. e107 versión 2.1.2, permite la inyección de objetos PHP teniendo como resultado la inyección SQL, porque el archivo usersettings.php usa deserialización sin un HMAC. • https://blog.ripstech.com/2016/e107-sql-injection-through-object-injection https://demo.ripstech.com/projects/e107_2.1.2 • CWE-502: Deserialization of Untrusted Data •
CVE-2018-17081
https://notcve.org/view.php?id=CVE-2018-17081
e107 2.1.9 allows CSRF via e107_admin/wmessage.php?mode=&action=inline&ajax_used=1&id= for changing the title of an arbitrary page. e107 2.1.9 permite Cross-Site Request Forgery (CSRF) mediante e107_admin/wmessage.php?mode=action=inlineajax_used=1id= para cambiar el título de una página arbitraria. • https://github.com/himanshurahi/e107_2.1.9_CSRF_POC • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-16388
https://notcve.org/view.php?id=CVE-2018-16388
e107_web/js/plupload/upload.php in e107 2.1.8 allows remote attackers to execute arbitrary PHP code by uploading a .php filename with the image/jpeg content type. e107_web/js/plupload/upload.php en e107 2.1.8 permite que atacantes remotos ejecuten código PHP arbitrario mediante la subida de un nombre de archivo .php con el tipo de contenido image/jpeg. • https://gist.github.com/ommadawn46/5cb22e7c66cc32a5c7734a8064b4d3f5 https://github.com/e107inc/e107/commit/e5bb5297f68e56537c004cdbb48a30892e9f6f4c • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2018-16389
https://notcve.org/view.php?id=CVE-2018-16389
e107_admin/banlist.php in e107 2.1.8 allows SQL injection via the old_ip parameter. e107_admin/banlist.php en e107 2.1.8 permite la inyección SQL mediante el parámetro old_ip • https://gist.github.com/ommadawn46/51e08e13e6980dcbcffb4322c29b93d0 https://github.com/e107inc/e107/commit/ec483e9379aa622bfcc1b853b189c74288771f27 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •