CVSS: 4.9EPSS: 0%CPEs: 3EXPL: 1CVE-2019-9708
https://notcve.org/view.php?id=CVE-2019-9708
An issue was discovered in Mahara 17.10 before 17.10.8, 18.04 before 18.04.4, and 18.10 before 18.10.1. A site administrator can suspend the system user (root), causing all users to be locked out from the system. Fue encontrado un problema en Mahara versión 17.10 anterior de 17.10.8, versión 18.04 anterior de 18.04.4 y versión 18.10 anterior de 18.10.1. Un administrador del sitio puede suspender al usuario del sistema (root), lo que conlleva a que todos los usuarios sean bloqueados fuera del sistema. • https://bugs.launchpad.net/mahara/+bug/1817221 https://mahara.org/interaction/forum/topic.php?id=8445 •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2019-9709
https://notcve.org/view.php?id=CVE-2019-9709
An issue was discovered in Mahara 17.10 before 17.10.8, 18.04 before 18.04.4, and 18.10 before 18.10.1. The collection title is vulnerable to Cross Site Scripting (XSS) due to not escaping it when viewing the collection's SmartEvidence overview page (if that feature is turned on). This can be exploited by any logged-in user. Fue encontrado un problema en Mahara versión 17.10 anterior de 17.10.8, versión 18.04 anterior de 18.04.4 y versión 18.10 anterior de 18.10.1. El título collection es vulnerable a Cross Site Scripting (XSS) debido a que no escapa al ver la página de información general de collection's SmartEvidence (si esa función está activada). • https://bugs.launchpad.net/bugs/1819547 https://mahara.org/interaction/forum/topic.php?id=8446 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 1CVE-2018-11195
https://notcve.org/view.php?id=CVE-2018-11195
Mahara 17.04 before 17.04.8 and 17.10 before 17.10.5 and 18.04 before 18.04.1 are vulnerable to the browser "back and refresh" attack. This allows malicious users with physical access to the web browser of a Mahara user, after they have logged in, to potentially gain access to their Mahara credentials. Mahara, en versiones 17.04 anteriores a la 17.04.8, versiones 17.10 anteriores a la 17.10.5 y versiones 18.04 anteriores a la 18.04.1 es vulnerable a un ataque "back and refresh" del navegador. Esto permite que usuarios maliciosos con acceso físico al navegador web de un usuario de Mahara, una vez haya iniciado sesión, puedan obtener acceso a sus credenciales de Mahara. • https://bugs.launchpad.net/mahara/+bug/1770561 https://mahara.org/interaction/forum/topic.php?id=8269 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2018-11196
https://notcve.org/view.php?id=CVE-2018-11196
Mahara 17.04 before 17.04.8 and 17.10 before 17.10.5 and 18.04 before 18.04.1 can be used as medium to transmit viruses by placing infected files into a Leap2A archive and uploading that to Mahara. In contrast to other ZIP files that are uploaded, ClamAV (when activated) does not check Leap2A archives for viruses, allowing malicious files to be available for download. While files cannot be executed on Mahara itself, Mahara can be used to transfer such files to user computers. Mahara, en versiones 17.04 anteriores a la 17.04.8, versiones 17.10 anteriores a la 17.10.5 y versiones 18.04 anteriores a la 18.04.1 pueden empelarse para transmitir virus colocando archivos infectados en un archivo Leap2A y subiéndolo a Mahara. En contraste con otros archivos ZIP que se suben, ClamAV (cuando se activa) no comprueba los archivos Leap2A en busca de virus, lo que permite que los archivos maliciosos estén disponibles para su descarga. • https://bugs.launchpad.net/bugs/1770535 https://mahara.org/interaction/forum/topic.php?id=8270 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2018-11565
https://notcve.org/view.php?id=CVE-2018-11565
Mahara 17.04 before 17.04.8 and 17.10 before 17.10.5 and 18.04 before 18.04.1 are vulnerable to mentioning the usernames that are already taken by people registered in the system rather than masking that information. Mahara en versiones 17.04 anteriores a la 17.04.8, versiones 17.10 anteriores a la 17.10.5 y versiones 18.04 anteriores a la 18.04.1 es vulnerable a mencionar los nombres de usuario que ya están en uso por personas registradas en el sistema, en lugar de ocultar dicha información. • https://bugs.launchpad.net/mahara/+bug/1772774 https://mahara.org/interaction/forum/topic.php?id=8271 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •