Page 2 of 19 results (0.001 seconds)

CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 2

In Halo, versions v1.0.0 to v1.4.17 (latest) are vulnerable to Stored Cross-Site Scripting (XSS) in the article tag. An authenticated admin attacker can inject arbitrary javascript code that will execute on a victim’s server. En Halo, versiones v1.0.0 a v1.4.17 (la más reciente) son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) Almacenado en la etiqueta article. Un atacante autenticado puede inyectar código javascript arbitrario que será ejecutado en el servidor de la víctima • https://github.com/halo-dev/halo/blob/v1.4.17/src/main/java/run/halo/app/service/impl/PostServiceImpl.java#L500 https://github.com/halo-dev/halo/issues/1557 https://www.whitesourcesoftware.com/vulnerability-database/CVE-2022-22125 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1

In Halo, versions v1.0.0 to v1.4.17 (latest) are vulnerable to Stored Cross-Site Scripting (XSS) in the profile image. An authenticated attacker can upload a carefully crafted SVG file that will trigger arbitrary javascript to run on a victim’s browser. En Halo, versiones v1.0.0 a v1.4.17 (la más reciente) son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) Almacenado en la imagen del perfil. Un atacante autenticado puede subir un archivo SVG cuidadosamente diseñado que desencadenará la ejecución de javascript arbitrario en el navegador de la víctima • https://github.com/halo-dev/halo/blob/v1.4.17/src/main/java/run/halo/app/handler/file/FileHandler.java#L30 https://github.com/halo-dev/halo/issues/1575 https://www.whitesourcesoftware.com/vulnerability-database/CVE-2022-22124 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1

In Halo, versions v1.0.0 to v1.4.17 (latest) are vulnerable to Stored Cross-Site Scripting (XSS) in the article title. An authenticated attacker can inject arbitrary javascript code that will execute on a victim’s server. En Halo, versiones v1.0.0 a v1.4.17 (la más reciente) son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) Almacenado en el título del artículo. Un atacante autenticado puede inyectar código javascript arbitrario que será ejecutado en el servidor de la víctima • https://github.com/halo-dev/halo/blob/v1.4.17/src/main/java/run/halo/app/service/impl/PostServiceImpl.java#L391 https://github.com/halo-dev/halo/issues/1557 https://www.whitesourcesoftware.com/vulnerability-database/CVE-2022-22123 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

SSRF vulnerability in Halo <=1.3.2 exists in the SMTP configuration, which can detect the server intranet. Una vulnerabilidad de tipo SSRF en Halo versiones anteriores a 1.3.2 incluyéndola, se presenta en la configuración SMTP, que puede detectar la intranet del servidor • https://github.com/halo-dev/halo/issues/806 • CWE-918: Server-Side Request Forgery (SSRF) •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1

Cross Site Scripting (XSS) vulnerability in Halo 1.1.3 via post publish components in the manage panel, which lets a remote malicious user execute arbitrary code. Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Halo versión 1.1.3, por medio de un componente post publish en el panel de administración, que permite a un usuario malicioso remoto ejecutar código arbitrario • https://github.com/halo-dev/halo/issues/336 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •