Page 3 of 30 results (0.004 seconds)

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1

In halo 1.4.14, the function point of uploading the avatar, any file can be uploaded, such as uploading an HTML file, which will cause a stored XSS vulnerability. En halo versión 1.4.14, el punto de la función de subir el avatar, puede subirse cualquier archivo, como subir un archivo HTML, lo que causará una vulnerabilidad de tipo XSS almacenada • https://github.com/halo-dev/halo/issues/1522 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 2

In Halo, versions v1.0.0 to v1.4.17 (latest) are vulnerable to Stored Cross-Site Scripting (XSS) in the article tag. An authenticated admin attacker can inject arbitrary javascript code that will execute on a victim’s server. En Halo, versiones v1.0.0 a v1.4.17 (la más reciente) son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) Almacenado en la etiqueta article. Un atacante autenticado puede inyectar código javascript arbitrario que será ejecutado en el servidor de la víctima • https://github.com/halo-dev/halo/blob/v1.4.17/src/main/java/run/halo/app/service/impl/PostServiceImpl.java#L500 https://github.com/halo-dev/halo/issues/1557 https://www.whitesourcesoftware.com/vulnerability-database/CVE-2022-22125 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 1

File Deletion vulnerability in Halo 0.4.3 via delBackup. Una vulnerabilidad de Borrado de Archivos en Halo versión 0.4.3, por medio de delBackup • https://cwe.mitre.org/data/definitions/23.html https://github.com/halo-dev/halo/issues/136 • CWE-862: Missing Authorization •

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1

Incorrect Access Control vulnearbility in Halo 0.4.3, which allows a malicious user to bypass encrption to view encrpted articles via cookies. Una vulnerabilidad de Control de Acceso Incorrecto en Halo versión 0.4.3, que permite a un usuario malicioso omitir la encriptación para visualizar artículos encriptados por medio de cookies • https://github.com/halo-dev/halo/issues/135 • CWE-287: Improper Authentication •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

SSRF vulnerability in Halo <=1.3.2 exists in the SMTP configuration, which can detect the server intranet. Una vulnerabilidad de tipo SSRF en Halo versiones anteriores a 1.3.2 incluyéndola, se presenta en la configuración SMTP, que puede detectar la intranet del servidor • https://github.com/halo-dev/halo/issues/806 • CWE-918: Server-Side Request Forgery (SSRF) •