CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23208
https://notcve.org/view.php?id=CVE-2020-23208
01 Jul 2021 — A stored cross site scripting (XSS) vulnerability in phplist 3.5.3 allows attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Send test" field under the "Start or continue campaign" module. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Send test" en el módulo "Start or continue campaign" • https://github.com/phpList/phplist3/issues/665 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23207
https://notcve.org/view.php?id=CVE-2020-23207
01 Jul 2021 — A stored cross site scripting (XSS) vulnerability in phplist 3.5.3 allows attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Edit Values" field under the "Configure Attributes" module. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Edit Values" bajo el módulo "Configure Attributes" • https://github.com/phpList/phplist3/issues/664 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23361
https://notcve.org/view.php?id=CVE-2020-23361
27 Jan 2021 — phpList 3.5.3 allows type juggling for login bypass because == is used instead of === for password hashes, which mishandles hashes that begin with 0e followed by exclusively numerical characters. phpList versión 3.5.3, permite el malabarismo de tipos para la omisión de inicio de sesión porque es usado == en lugar de === para los hashes de contraseña, que maneja inapropiadamente los hashes que comienzan con 0e seguidos de caracteres exclusivamente numéricos • https://github.com/phpList/phplist3/issues/668 •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2021-3188
https://notcve.org/view.php?id=CVE-2021-3188
21 Jan 2021 — phpList 3.6.0 allows CSV injection, related to the email parameter, and /lists/admin/ exports. phpList versión 3.6.0, permite una inyección CSV, relacionada con el parámetro email, y las exportaciones de /lists/admin/ • https://wehackmx.com/security-research/WeHackMX-2021-001 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35708
https://notcve.org/view.php?id=CVE-2020-35708
25 Dec 2020 — phpList 3.5.9 allows SQL injection by admins who provide a crafted fourth line of a file to the "Config - Import Administrators" page. phpList versión 3.5.9, permite una inyección de SQL por parte de los administradores que proporcionan una cuarta línea diseñada de un archivo hacia la página "Config - Import Administrators" • https://sourceforge.net/projects/phplist/files/phplist • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-15072
https://notcve.org/view.php?id=CVE-2020-15072
08 Jul 2020 — An issue was discovered in phpList through 3.5.4. An error-based SQL Injection vulnerability exists via the Import Administrators section. Se detectó un problema en phpList versiones hasta 3.5.4. Una vulnerabilidad de Inyección SQL basada en errores por medio de la sección Import Administrators • https://blog.telspace.co.za/2020/07/phplist-cve-2020-15072-cve-2020-15073.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-15073
https://notcve.org/view.php?id=CVE-2020-15073
08 Jul 2020 — An issue was discovered in phpList through 3.5.4. An XSS vulnerability occurs within the Import Administrators section via upload of an edited text document. This also affects the Subscriber Lists section. Se detectó un problema en phpList versiones hasta 3.5.4. Se produce una vulnerabilidad de tipo XSS en la sección Import Administrators mediante la carga de un documento de texto editado. • https://blog.telspace.co.za/2020/07/phplist-cve-2020-15072-cve-2020-15073.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13827
https://notcve.org/view.php?id=CVE-2020-13827
04 Jun 2020 — phpList before 3.5.4 allows XSS via /lists/admin/user.php and /lists/admin/users.php. phpList versiones anteriores a 3.5.4, permite un ataque de tipo XSS por medio de los archivos /lists/admin/user.php y /lists/admin/users.php • https://www.phplist.org/newslist/phplist-3-5-4-release-notes • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-12639
https://notcve.org/view.php?id=CVE-2020-12639
04 May 2020 — phpList before 3.5.3 allows XSS, with resultant privilege elevation, via lists/admin/template.php. phpList versiones anteriores a la versión 3.5.3, permiten un ataque de tipo XSS, dando como resultado una ascenso de privilegios, por medio del archivo lists/admin/template.php. • https://github.com/phpList/phplist3/compare/3.5.2...3.5.3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 7%CPEs: 1EXPL: 1CVE-2020-8547 – phpList 3.5.0 - Authentication Bypass
https://notcve.org/view.php?id=CVE-2020-8547
03 Feb 2020 — phpList 3.5.0 allows type juggling for admin login bypass because == is used instead of === for password hashes, which mishandles hashes that begin with 0e followed by exclusively numerical characters. phpList versión 3.5.0, permite el malabarismo de tipos (type juggling) para omitir el inicio de sesión de administrador porque se utiliza == en lugar de === para los hashes de contraseña, que maneja inapropiadamente los hash que comienzan con 0e seguido de caracteres numéricos exclusivamente. • https://www.exploit-db.com/exploits/47989 •