CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000129
https://notcve.org/view.php?id=CVE-2017-1000129
17 Nov 2017 — Serendipity 2.0.3 is vulnerable to a SQL injection in the blog component resulting in information disclosure Serendipity 2.0.3 es vulnerable a una inyección de SQL en el componente blog, lo que resulta en una divulgación de información. • https://blog.s9y.org/archives/269-Serendipity-2.0.4-and-2.1-beta2-released.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-8101
https://notcve.org/view.php?id=CVE-2017-8101
24 Apr 2017 — There is CSRF in Serendipity 2.0.5, allowing attackers to install any themes via a GET request. Hay CSRF en Serendipity 2.0.5, permitiendo a atacantes instalar cualquier tema a través de una solicitud GET. • http://seclists.org/fulldisclosure/2017/Apr/52 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2017-8102
https://notcve.org/view.php?id=CVE-2017-8102
24 Apr 2017 — Stored XSS in Serendipity v2.1-rc1 allows an attacker to steal an admin's cookie and other information by composing a new entry as an editor user. This is related to lack of the serendipity_event_xsstrust plugin and a set_config error in that plugin. XSS almacenado en Serendipity v2.1-rc1 permite a un atacante robar una cookie de un administrador y otra información componiendo una nueva entrada como un usuario editor. Esto está relacionado con la falta del plugin serendipity_event_xsstrust plugin y un error... • http://seclists.org/fulldisclosure/2017/Apr/44 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 0CVE-2017-5609
https://notcve.org/view.php?id=CVE-2017-5609
28 Jan 2017 — SQL injection vulnerability in include/functions_entries.inc.php in Serendipity 2.0.5 allows remote authenticated users to execute arbitrary SQL commands via the cat parameter. Vulnerabilidad de inyección SQL en include/functions_entries.inc.php en Serendipity 2.0.5 permite a usuarios autenticados remotos ejecutar comandos arbitrarios SQL a través del parámetro cat. • http://www.securityfocus.com/bid/95850 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5474
https://notcve.org/view.php?id=CVE-2017-5474
14 Jan 2017 — Open redirect vulnerability in comment.php in Serendipity through 2.0.5 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the HTTP Referer header. Vulnerabilidad de redirección abierta en comment.php en Serendipity hasta la versión 2.0.5 permite a atacantes remotos redirigir a usuarios a sitios web arbitrarios y llevar acabo ataques de phishing a través de una URL en el encabezado HTTP Referer. • http://www.securityfocus.com/bid/95652 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5475
https://notcve.org/view.php?id=CVE-2017-5475
14 Jan 2017 — comment.php in Serendipity through 2.0.5 allows CSRF in deleting any comments. comment.php en Serendipity hasta la versión 2.0.5 permite CSRF en la eliminación de cualquier comentario. • http://www.securityfocus.com/bid/95656 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5476
https://notcve.org/view.php?id=CVE-2017-5476
14 Jan 2017 — Serendipity through 2.0.5 allows CSRF for the installation of an event plugin or a sidebar plugin. Serendipity hasta la versión 2.0.5 permite CSRF para la instalación de un plugin de evento o un plugin de barra lateral. • http://www.securityfocus.com/bid/95659 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 0CVE-2016-10082
https://notcve.org/view.php?id=CVE-2016-10082
30 Dec 2016 — include/functions_installer.inc.php in Serendipity through 2.0.5 is vulnerable to File Inclusion and a possible Code Execution attack during a first-time installation because it fails to sanitize the dbType POST parameter before adding it to an include() call in the bundled-libs/serendipity_generateFTPChecksums.php file. include/functions_installer.inc.php en Serendipity hasta la versión 2.0.5 es vulnerable a ataques File Inclusion y posiblemente Code Execution durante una primera instalación porque falla e... • http://www.securityfocus.com/bid/95165 • CWE-284: Improper Access Control •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2016-9681
https://notcve.org/view.php?id=CVE-2016-9681
25 Dec 2016 — Multiple cross-site scripting (XSS) vulnerabilities in Serendipity before 2.0.5 allow remote authenticated users to inject arbitrary web script or HTML via a category or directory name. Múltiples vulnerabilidades de XSS en Serendipity en versiones anteriores a 2.0.5 permiten a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de categoría o directorio. • http://www.securityfocus.com/bid/95095 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.6EPSS: 0%CPEs: 1EXPL: 0CVE-2016-9752
https://notcve.org/view.php?id=CVE-2016-9752
01 Dec 2016 — In Serendipity before 2.0.5, an attacker can bypass SSRF protection by using a malformed IP address (e.g., http://127.1) or a 30x (aka Redirection) HTTP status code. En Serendipity en versiones anteriores a 2.0.5, un atacante puede eludir la protección SSRF utilizando una dirección IP malformada (e.g., http://127.1) o un código de estado HTTP 30x (también conocido como Redirection). • http://www.securityfocus.com/bid/94622 • CWE-918: Server-Side Request Forgery (SSRF) •