CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2022-28892
https://notcve.org/view.php?id=CVE-2022-28892
Mahara before 20.10.5, 21.04.4, 21.10.2, and 22.04.0 is vulnerable to Cross Site Request Forgery (CSRF) because randomly generated tokens are too easily guessable. Mahara versiones anteriores a 20.10.5, 21.04.4, 21.10.2 y 22.04.0 es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF) porque los tokens generados aleatoriamente son muy fáciles de adivinar • https://bugs.launchpad.net/mahara/+bug/1930171 https://mahara.org/interaction/forum/topic.php?id=9094 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2022-24111
https://notcve.org/view.php?id=CVE-2022-24111
In Mahara 21.04 before 21.04.3 and 21.10 before 21.10.1, portfolios created in groups that have not been shared with non-group members and portfolios created on the site and institution levels can be viewed without requiring a login if the URL to these portfolios is known. En Mahara versiones 21.04 anteriores a 21.04.3 y versiones 21.10 anteriores a 21.10.1, las carteras creadas en grupos que no han sido compartidas con miembros que no son del grupo y las carteras creadas en los niveles de sitio e institución pueden ser visualizadas sin requerir un inicio de sesión si se conoce la URL de estas carteras • https://bugs.launchpad.net/mahara/+bug/1959146 https://mahara.org/interaction/forum/topic.php?id=8996 • CWE-306: Missing Authentication for Critical Function •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 1CVE-2022-24694
https://notcve.org/view.php?id=CVE-2022-24694
In Mahara 20.10 before 20.10.4, 21.04 before 21.04.3, and 21.10 before 21.10.1, the names of folders in the Files area can be seen by a person not owning the folders. (Only folder names are affected. Neither file names nor file contents are affected.) En Mahara versiones 20.10 anteriores a 20.10.4, versiones 21.04 anteriores a 21.04.3 y versiones 21.10 anteriores a 21.10.1, los nombres de las carpetas en el área de Archivos pueden ser visualizados por una persona que no sea propietaria de las carpetas. (Sólo están afectados los nombres de las carpetas. • https://bugs.launchpad.net/mahara/+bug/1952808 https://mahara.org/interaction/forum/topic.php?id=8994 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-40849
https://notcve.org/view.php?id=CVE-2021-40849
In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, the account associated with a web services token is vulnerable to being exploited and logged into, resulting in information disclosure (at a minimum) and often escalation of privileges. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, la cuenta asociada a un token de servicios web es vulnerable a ser explotada y a iniciar sesión, resultando en una divulgación de información (como mínimo) y a menudo en una escalada de privilegios • https://bugs.launchpad.net/mahara/+bug/1930469 https://mahara.org/interaction/forum/topic.php?id=8949 • CWE-613: Insufficient Session Expiration •
CVSS: 7.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-40848
https://notcve.org/view.php?id=CVE-2021-40848
In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, exported CSV files could contain characters that a spreadsheet program could interpret as a command, leading to execution of a malicious string locally on a device, aka CSV injection. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, los archivos CSV exportados podían contener caracteres que un programa de hoja de cálculo podía interpretar como un comando, conllevando a una ejecución de una cadena maliciosa localmente en un dispositivo, lo que se conoce como inyección CSV • https://bugs.launchpad.net/mahara/+bug/1930471 https://mahara.org/interaction/forum/topic.php?id=8950 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •