CVSS: 9.1EPSS: 0%CPEs: 29EXPL: 0CVE-2013-7305
https://notcve.org/view.php?id=CVE-2013-7305
22 Jan 2014 — fpw.php in e107 through 1.0.4 does not check the user_ban field, which makes it easier for remote attackers to reset passwords by sending a pwsubmit request and leveraging access to the e-mail account of a banned user. fpw.php en e107 hasta la versión 1.0.4 no comprueba el campo user_ban, lo que hace más fácil para atacantes remotos restablecer contraseñas mediante el envío de una petición pwsubmit y aprovechando el acceso a la cuenta de email de un usuario baneado. • http://sourceforge.net/p/e107/svn/13114 • CWE-255: Credentials Management Errors •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 3CVE-2012-6433 – e107 1.0.1 - Arbitrary JavaScript Execution (via Cross-Site Request Forgery)
https://notcve.org/view.php?id=CVE-2012-6433
03 Jan 2013 — Cross-site request forgery (CSRF) vulnerability in e107_admin/newspost.php in e107 1.0.1 allows remote attackers to hijack the authentication of administrators for requests that conduct XSS attacks via the news_title parameter in a create action. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en e107_admin/download.php en e107 v1.0.1 permite a atacantes remotos secuestrar la autenticación de los administradores de las peticiones que realizan los ataques XSS a través del parám... • https://www.exploit-db.com/exploits/23828 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 3CVE-2012-6434 – e107 1.0.2 - SQL Injection (via Cross-Site Request Forgery)
https://notcve.org/view.php?id=CVE-2012-6434
03 Jan 2013 — Multiple cross-site request forgery (CSRF) vulnerabilities in e107_admin/download.php in e107 1.0.2 allow remote attackers to hijack the authentication of administrators for requests that conduct SQL injection attacks via the (1) download_url, (2) download_url_extended, (3) download_author_email, (4) download_author_website, (5) download_image, (6) download_thumb, (7) download_visible, or (8) download_class parameter. Múltiples vulnerabilidades de fasificación de peticiones en sitios cruzados (CSRF) en e107... • https://www.exploit-db.com/exploits/23829 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 3CVE-2011-5186 – jbShop e107 7 CMS Plugin - SQL Injection
https://notcve.org/view.php?id=CVE-2011-5186
20 Sep 2012 — Cross-site scripting (XSS) vulnerability in jbshop.php in the jbShop plugin for e107 7 allows remote attackers to inject arbitrary web script or HTML via the item_id parameter. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en jbshop.php en el plugin e107 v7 para jbShop permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro item_id. • https://www.exploit-db.com/exploits/18056 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 24EXPL: 1CVE-2011-4946
https://notcve.org/view.php?id=CVE-2011-4946
31 Aug 2012 — SQL injection vulnerability in e107_admin/users_extended.php in e107 before 0.7.26 allows remote attackers to execute arbitrary SQL commands via the user_field parameter. Vulnerabilidad de inyección SQL en e107_admin/users_extended.php en e107 anteriores a v0.7.26 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro user_field. • http://e107.org/svn_changelog.php?version=0.7.26 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.6EPSS: 0%CPEs: 25EXPL: 0CVE-2011-4947
https://notcve.org/view.php?id=CVE-2011-4947
31 Aug 2012 — Cross-site request forgery (CSRF) vulnerability in e107_admin/users_extended.php in e107 before 0.7.26 allows remote attackers to hijack the authentication of administrators for requests that insert cross-site scripting (XSS) sequences via the user_include parameter. Vulnerabilidad de fasificación de peticiones en sitios cruzados (CSRF) en e107_admin/users_extended.php en e107 anteriores a v0.7.26 permite a atacantes remotos secuestrar la autenticación de los usuarios administradores en peticiones para inse... • http://e107.org/svn_changelog.php?version=0.7.26 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2012-3843
https://notcve.org/view.php?id=CVE-2012-3843
03 Jul 2012 — Cross-site scripting (XSS) vulnerability in the registration page in e107, probably 1.0.1, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en la página de registro en e107, probablemente v1.0.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://hauntit.blogspot.com/2012/04/en-e107-cms-reflected-xss-in.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 65EXPL: 0CVE-2010-5084
https://notcve.org/view.php?id=CVE-2010-5084
14 Feb 2012 — The cross-site request forgery (CSRF) protection mechanism in e107 before 0.7.23 uses a predictable random token based on the creation date of the administrator account, which allows remote attackers to hijack the authentication of administrators for requests that add new users via e107_admin/users.php. El mecanismo de protección de falsificación de petición en sitios cruzados (CSRF) en e107 antes de v0.7.23, utiliza una muestra aleatoria predecible basada en la fecha de creación de la cuenta de administrad... • http://e107.org/comment.php?comment.news.872 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2011-4920
https://notcve.org/view.php?id=CVE-2011-4920
04 Jan 2012 — Multiple cross-site scripting (XSS) vulnerabilities in e107 0.7.26, and other versions before 1.0.0, allow remote attackers to inject arbitrary web script or HTML via the URL to (1) e107_images/thumb.php or (2) rate.php, (3) resend_name parameter to e107_admin/users.php, and (4) link BBCode in user signatures. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en e107 v0.7.26 y otras versiones anteriores a v1.0.0, permite a atacantes remotos inyectar secuencias de com... • http://osvdb.org/78047 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2011-4921
https://notcve.org/view.php?id=CVE-2011-4921
04 Jan 2012 — SQL injection vulnerability in usersettings.php in e107 0.7.26, and possibly other versions before 1.0.0, allows remote attackers to execute arbitrary SQL commands via the username parameter. Vulnerabilida de inyección SQL en usersettings.php en e107 v0.7.26 y posiblemente otras versiones anteriores a 1.0.0, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro username. • http://osvdb.org/78050 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •