CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-40849
https://notcve.org/view.php?id=CVE-2021-40849
03 Nov 2021 — In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, the account associated with a web services token is vulnerable to being exploited and logged into, resulting in information disclosure (at a minimum) and often escalation of privileges. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, la cuenta asociada a un token de servicios web es vulnerable a ser explotada y a iniciar sesión, resultando en una divulgación de información (como mínimo) y a menudo en una escalada de privilegios • https://bugs.launchpad.net/mahara/+bug/1930469 • CWE-613: Insufficient Session Expiration •
CVSS: 7.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-40848
https://notcve.org/view.php?id=CVE-2021-40848
03 Nov 2021 — In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, exported CSV files could contain characters that a spreadsheet program could interpret as a command, leading to execution of a malicious string locally on a device, aka CSV injection. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, los archivos CSV exportados podían contener caracteres que un programa de hoja de cálculo podía interpretar como un comando, conllevando a una ejecución de una cadena maliciosa localmente en un disposi... • https://bugs.launchpad.net/mahara/+bug/1930471 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 3.3EPSS: 0%CPEs: 3EXPL: 1CVE-2021-43264
https://notcve.org/view.php?id=CVE-2021-43264
02 Nov 2021 — In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, adjusting the path component for the page help file allows attackers to bypass the intended access control for HTML files via directory traversal. It replaces the - character with the / character. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, el ajuste del componente de la ruta para el archivo de ayuda de la página permite a atacantes omitir el control de acceso previsto para los archivos HTML por medio de un salto de directori... • https://bugs.launchpad.net/mahara/+bug/1944979 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 1CVE-2021-43265
https://notcve.org/view.php?id=CVE-2021-43265
02 Nov 2021 — In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, certain tag syntax could be used for XSS, such as via a SCRIPT element. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, determinada sintaxis de etiquetas podía ser usada para un ataque de tipo XSS, como por medio de un elemento SCRIPT • https://bugs.launchpad.net/mahara/+bug/1944633 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 1CVE-2021-43266
https://notcve.org/view.php?id=CVE-2021-43266
02 Nov 2021 — In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, exporting collections via PDF export could lead to code execution via shell metacharacters in a collection name. Additional, in Mahara before 20.10.4, 21.04.3, and 21.10.1, exporting collections via PDF export could cause code execution En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2, y 21.10.0, la exportación de colecciones por medio de la exportación de PDF podía conllevar a una ejecución de código por medio de metacaracteres de shell en ... • https://bugs.launchpad.net/mahara/+bug/1942903 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23052
https://notcve.org/view.php?id=CVE-2020-23052
22 Oct 2021 — Catalyst IT Ltd Mahara CMS v19.10.2 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities in the component groupfiles.php via the Number (Nombre) and Description (Descripción) parameters. Se ha detectado que Catalyst IT Ltd Mahara CMS versión v19.10.2, contiene múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el componente groupfiles.php por medio de los parámetros Number (Nombre) y Description (Descripción) • https://www.vulnerability-lab.com/get_content.php?id=2217 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 2CVE-2021-29349
https://notcve.org/view.php?id=CVE-2021-29349
31 Mar 2021 — Mahara 20.10 is affected by Cross Site Request Forgery (CSRF) that allows a remote attacker to remove inbox-mail on the server. The application fails to validate the CSRF token for a POST request. An attacker can craft a module/multirecipientnotification/inbox.php pieform_delete_all_notifications request, which leads to removing all messages from a mailbox. Mahara versión 20.10 está afectado por un vulnerabilidad de tipo Cross Site Request Forgery (CSRF) que permite a un atacante remoto eliminar el correo d... • https://github.com/Vulnmachines/CVE-2021-29349 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2020-15907
https://notcve.org/view.php?id=CVE-2020-15907
07 Aug 2020 — In Mahara 19.04 before 19.04.6, 19.10 before 19.10.4, and 20.04 before 20.04.1, certain places could execute file or folder names containing JavaScript. En Mahara versiones 19.04 anteriores a 19.04.6, versiones 19.10 anteriores a 19.10.4 y versiones 20.04 anteriores a 20.04.1, determinados lugares podían ejecutar nombres de archivos o carpetas que contienen JavaScript • https://bugs.launchpad.net/mahara/+bug/1888163 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-9387
https://notcve.org/view.php?id=CVE-2020-9387
30 Apr 2020 — In Mahara 19.04 before 19.04.5 and 19.10 before 19.10.3, account details are shared in the Elasticsearch results for accounts that are not accessible when the config setting 'Isolated institutions' is turned on. En Mahara versiones 19.04 anteriores a la versión 19.04.5 y versiones 19.10 anteriores a la versión 19.10.3, los detalles de cuentas son compartidos en los resultados de Elasticsearch para las cuentas que no son accesibles cuando el ajuste de configuración "Isolated institutions" está activado. • https://bugs.launchpad.net/mahara/+bug/1836984 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2020-9386
https://notcve.org/view.php?id=CVE-2020-9386
09 Mar 2020 — In Mahara 18.10 before 18.10.5, 19.04 before 19.04.4, and 19.10 before 19.10.2, file metadata information is disclosed to group members in the Elasticsearch result list despite them not having access to that artefact anymore. En Mahara versiones 18.10 anteriores a 18.10.5, versiones 19.04 anteriores a 19.04.4 y versiones 19.10 anteriores a 19.10.2, la información de metadatos de archivo es revelada a los miembros del grupo en la lista de resultados de Elasticsearch a pesar de que ya no tienen acceso a ese a... • https://bugs.launchpad.net/mahara/+bug/1840201 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •