CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2017-8102
https://notcve.org/view.php?id=CVE-2017-8102
24 Apr 2017 — Stored XSS in Serendipity v2.1-rc1 allows an attacker to steal an admin's cookie and other information by composing a new entry as an editor user. This is related to lack of the serendipity_event_xsstrust plugin and a set_config error in that plugin. XSS almacenado en Serendipity v2.1-rc1 permite a un atacante robar una cookie de un administrador y otra información componiendo una nueva entrada como un usuario editor. Esto está relacionado con la falta del plugin serendipity_event_xsstrust plugin y un error... • http://seclists.org/fulldisclosure/2017/Apr/44 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5609
https://notcve.org/view.php?id=CVE-2017-5609
28 Jan 2017 — SQL injection vulnerability in include/functions_entries.inc.php in Serendipity 2.0.5 allows remote authenticated users to execute arbitrary SQL commands via the cat parameter. Vulnerabilidad de inyección SQL en include/functions_entries.inc.php en Serendipity 2.0.5 permite a usuarios autenticados remotos ejecutar comandos arbitrarios SQL a través del parámetro cat. • http://www.securityfocus.com/bid/95850 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5476
https://notcve.org/view.php?id=CVE-2017-5476
14 Jan 2017 — Serendipity through 2.0.5 allows CSRF for the installation of an event plugin or a sidebar plugin. Serendipity hasta la versión 2.0.5 permite CSRF para la instalación de un plugin de evento o un plugin de barra lateral. • http://www.securityfocus.com/bid/95659 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5474
https://notcve.org/view.php?id=CVE-2017-5474
14 Jan 2017 — Open redirect vulnerability in comment.php in Serendipity through 2.0.5 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the HTTP Referer header. Vulnerabilidad de redirección abierta en comment.php en Serendipity hasta la versión 2.0.5 permite a atacantes remotos redirigir a usuarios a sitios web arbitrarios y llevar acabo ataques de phishing a través de una URL en el encabezado HTTP Referer. • http://www.securityfocus.com/bid/95652 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5475
https://notcve.org/view.php?id=CVE-2017-5475
14 Jan 2017 — comment.php in Serendipity through 2.0.5 allows CSRF in deleting any comments. comment.php en Serendipity hasta la versión 2.0.5 permite CSRF en la eliminación de cualquier comentario. • http://www.securityfocus.com/bid/95656 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10082
https://notcve.org/view.php?id=CVE-2016-10082
30 Dec 2016 — include/functions_installer.inc.php in Serendipity through 2.0.5 is vulnerable to File Inclusion and a possible Code Execution attack during a first-time installation because it fails to sanitize the dbType POST parameter before adding it to an include() call in the bundled-libs/serendipity_generateFTPChecksums.php file. include/functions_installer.inc.php en Serendipity hasta la versión 2.0.5 es vulnerable a ataques File Inclusion y posiblemente Code Execution durante una primera instalación porque falla e... • http://www.securityfocus.com/bid/95165 • CWE-284: Improper Access Control •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2016-9681
https://notcve.org/view.php?id=CVE-2016-9681
25 Dec 2016 — Multiple cross-site scripting (XSS) vulnerabilities in Serendipity before 2.0.5 allow remote authenticated users to inject arbitrary web script or HTML via a category or directory name. Múltiples vulnerabilidades de XSS en Serendipity en versiones anteriores a 2.0.5 permiten a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de categoría o directorio. • http://www.securityfocus.com/bid/95095 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.6EPSS: 0%CPEs: 1EXPL: 0CVE-2016-9752
https://notcve.org/view.php?id=CVE-2016-9752
01 Dec 2016 — In Serendipity before 2.0.5, an attacker can bypass SSRF protection by using a malformed IP address (e.g., http://127.1) or a 30x (aka Redirection) HTTP status code. En Serendipity en versiones anteriores a 2.0.5, un atacante puede eludir la protección SSRF utilizando una dirección IP malformada (e.g., http://127.1) o un código de estado HTTP 30x (también conocido como Redirection). • http://www.securityfocus.com/bid/94622 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2015-8603 – Serendipity 2.0.2 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2015-8603
07 Jan 2016 — Cross-site scripting (XSS) vulnerability in Serendipity before 2.0.3 allows remote attackers to inject arbitrary web script or HTML via the serendipity[entry_id] parameter in an "edit" admin action to serendipity_admin.php. Vulnerabilidad de XSS en Serendipity en versiones anteriores a 2.0.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro serendipity[entry_id] en una acción de admin "edit" para serendipity_admin.php. Serendipity version 2.0.2 suffers... • https://packetstorm.news/files/id/135164 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 3CVE-2015-6969
https://notcve.org/view.php?id=CVE-2015-6969
16 Sep 2015 — Cross-site scripting (XSS) vulnerability in js/2k11.min.js in the 2k11 theme in Serendipity before 2.0.2 allows remote attackers to inject arbitrary web script or HTML via a user name in a comment, which is not properly handled in a Reply link. Vulnerabilidad de XSS en js/2k11.min.js en el tema 2k11 en Serendipity en versiones anteriores a 2.0.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de usuario en un comentario, lo cual no es manejado adecua... • http://blog.curesec.com/article/blog/Serendipity-201-Persistent-XSS-51.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •