CVE-2018-16381
https://notcve.org/view.php?id=CVE-2018-16381
e107 2.1.8 has XSS via the e107_admin/users.php?mode=main&action=list user_loginname parameter. e107 2.1.8 tiene Cross-Site Scripting (XSS) mediante el parámetro user_loginname en e107_admin/users.php?mode=mainaction=list. • https://github.com/dhananjay-bajaj/E107-v2.1.8-XSS-POC • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-15901
https://notcve.org/view.php?id=CVE-2018-15901
e107 2.1.8 has CSRF in 'usersettings.php' with an impact of changing details such as passwords of users including administrators. e107 2.1.8 tiene Cross-Site Request Forgery (CSRF) en "usersettings.php" que afecta al cambio de detalles como las contraseñas de los usuarios, incluyendo a los administradores. • https://github.com/dhananjay-bajaj/e107_2.1.8_csrf https://github.com/dhananjay-bajaj/e107_2.1.8_csrf/blob/master/E107_v2.1.8_CSRF_POC.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-11127
https://notcve.org/view.php?id=CVE-2018-11127
e107 2.1.7 has CSRF resulting in arbitrary user deletion. e107 2.1.7 tiene Cross-Site Request Forgery (CSRF) que resulta en la eliminación de usuarios arbitrarios. • https://github.com/e107inc/e107/issues/3128 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2016-10378
https://notcve.org/view.php?id=CVE-2016-10378
e107 2.1.1 allows SQL injection by remote authenticated administrators via the pagelist parameter to e107_admin/menus.php, related to the menuSaveVisibility function. e107 2.1.1 permite la inyección SQL por administradores remotos autenticados a través del parámetro pagelist a e107_admin/menus.php, relacionado con la función menuSaveVisibility. • http://code610.blogspot.com/2016/09/sql-injection-in-latest-e107-cms.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2017-8098
https://notcve.org/view.php?id=CVE-2017-8098
e107 2.1.4 is vulnerable to cross-site request forgery in plugin-installing, meta-changing, and settings-changing. A malicious web page can use forged requests to make e107 download and install a plug-in provided by the attacker. e107 2.1.4 es vulnerable a CSRF en la instalación de plugins, el meta cambio y el cambio de configuración. Una página web maliciosa puede utilizar solicitudes falsificadas para hacer una descarga e107 e instalar un plug-in proporcionado por el atacante. • http://seclists.org/fulldisclosure/2017/Apr/40 https://github.com/e107inc/e107/commit/7a3e3d9fc7e05ce6941b9af1c14010bf2141f1a5 • CWE-352: Cross-Site Request Forgery (CSRF) •