CVSS: 6.1EPSS: 0%CPEs: 14EXPL: 0CVE-2012-4541
https://notcve.org/view.php?id=CVE-2012-4541
19 Nov 2012 — Cross-site scripting (XSS) vulnerability in Piwik before 1.9 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Piwik antes de v1.9 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://piwik.org/blog/2012/10/piwik-1-9 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 4%CPEs: 4EXPL: 0CVE-2011-4941
https://notcve.org/view.php?id=CVE-2011-4941
18 Sep 2012 — Unspecified vulnerability in Piwik 1.2 through 1.4 allows remote attackers with the view permission to execute arbitrary code via unknown attack vectors. Vulnerabilidad no especificada en Piwik v1.2 hasta v1.4, permite a atacantes remotos con permisos de visualización, ejecutar código de su elección a través de vectores de ataque desconocidos • http://piwik.org/blog/2011/06/piwik-1-5-security-advisory •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3791
https://notcve.org/view.php?id=CVE-2011-3791
24 Sep 2011 — Piwik 1.1 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by plugins/Widgetize/Widgetize.php and certain other files. Piwik v1.1 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con plugins/Widgetize/Widgetize.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 67EXPL: 0CVE-2011-0399
https://notcve.org/view.php?id=CVE-2011-0399
10 Jan 2011 — Piwik before 1.1 does not prevent the rendering of the login form inside a frame in a third-party HTML document, which makes it easier for remote attackers to conduct clickjacking attacks via a crafted web site. Piwik antes de 1.1 no previene la representación del formulario de conexión dentro de un marco en un documento HTML de terceros, lo que facilita a los atacantes remotos realizar ataques de clickjacking mediante un sitio web manipulado. • http://dev.piwik.org/trac/ticket/1679 •
CVSS: 5.0EPSS: 0%CPEs: 67EXPL: 0CVE-2011-0400
https://notcve.org/view.php?id=CVE-2011-0400
10 Jan 2011 — Cookie.php in Piwik before 1.1 does not set the secure flag for the session cookie in an https session, which makes it easier for remote attackers to capture this cookie by intercepting its transmission within an http session. Cookie.php en Piwik anterior a v1.1 no establece el indicador seguro para la cookie de sesión en una sesión https, lo que facilita a los atacantes remotos capturar esta cookie mediante la interceptación de su transmisión entre una sesión http. • http://dev.piwik.org/trac/ticket/1795 • CWE-16: Configuration •
CVSS: 6.5EPSS: 0%CPEs: 67EXPL: 0CVE-2011-0398
https://notcve.org/view.php?id=CVE-2011-0398
10 Jan 2011 — The Piwik_Common::getIP function in Piwik before 1.1 does not properly determine the client IP address, which allows remote attackers to bypass intended geolocation and logging functionality via (1) use of a private (aka RFC 1918) address behind a proxy server or (2) spoofing of the X-Forwarded-For HTTP header. La función Piwik_Common::getIP de Piwik en versiones anteriores a la 1.1 no determina apropiadamente la dirección IP cliente, lo que permite a atacantes remotos evitar laS funcionalidades de geolocal... • http://dev.piwik.org/trac/ticket/567 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.1EPSS: 0%CPEs: 67EXPL: 0CVE-2011-0004
https://notcve.org/view.php?id=CVE-2011-0004
10 Jan 2011 — Multiple cross-site scripting (XSS) vulnerabilities in Piwik before 1.1 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados - (XSS) en Piwik antrior a v1.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://openwall.com/lists/oss-security/2011/01/06/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 1%CPEs: 67EXPL: 0CVE-2011-0401
https://notcve.org/view.php?id=CVE-2011-0401
10 Jan 2011 — Piwik before 1.1 does not properly limit the number of files stored under tmp/sessions/, which might allow remote attackers to cause a denial of service (inode consumption) by establishing many sessions. Piwik en versiones anteriores a la 1.1 no limita apropiadamente el número de ficheros almacenados bajo tmp/sessions/, lo que puede permitir a atacantes remotos provocar una denegación de servicio (consumo de los recursos inode) estableciendo muchas sesiones. • http://dev.piwik.org/trac/ticket/1279#comment:13 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.1EPSS: 1%CPEs: 6EXPL: 0CVE-2010-2786
https://notcve.org/view.php?id=CVE-2010-2786
02 Aug 2010 — Directory traversal vulnerability in Piwik 0.6 through 0.6.3 allows remote attackers to include arbitrary local files and possibly have unspecified other impact via directory traversal sequences in a crafted data-renderer request. Vulnerabilidad de salto de directorio en Piwik 0.6 a 0.6.3 permite a atacantes remotos incluir ficheros locales de su elección y posiblemente tener otro impacto no especificado a través de secuencias de salto de directorio en una petición manipulada data-renderer. • http://marc.info/?l=oss-security&m=128032989120346&w=2 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 51EXPL: 1CVE-2010-1453 – Piwik 0.5.5 - 'form_url' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2010-1453
07 May 2010 — Cross-site scripting (XSS) vulnerability in the Login form in Piwik 0.1.6 through 0.5.5 allows remote attackers to inject arbitrary web script or HTML via the form_url parameter. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el formulario de login en Piwik v0.1.6 hasta v0.5.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro "form_url". • https://www.exploit-db.com/exploits/33814 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •