CVSS: 9.1EPSS: 0%CPEs: 3EXPL: 0CVE-2012-2239
https://notcve.org/view.php?id=CVE-2012-2239
Mahara 1.4.x before 1.4.4 and 1.5.x before 1.5.3 allows remote attackers to read arbitrary files or create TCP connections via an XML external entity (XXE) injection attack, as demonstrated by reading config.php. Mahara v1.4.x anterior a v1.4.4 y v1.5.x anterior a v1.5.3 permite a atacantes remotos leer archivos arbitrarios o crear conexiones TCP a través de un ataque de inyección en una entidad XML externa (XXE), como se demuestra por la lectura de config.php. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1047111 https://mahara.org/interaction/forum/topic.php?id=4869 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.8EPSS: 0%CPEs: 15EXPL: 0CVE-2012-2246
https://notcve.org/view.php?id=CVE-2012-2246
Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4 allows remote attackers to conduct clickjacking attacks to delete arbitrary users and bypass CSRF protection via account/delete.php. Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4 permite a atacantes remotos realizar ataques de clickjacking para eliminar usuarios arbitrarios y eludir la protección CSRF través de account/delete.php • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1057240 https://exchange.xforce.ibmcloud.com/vulnerabilities/79273 https://mahara.org/interaction/forum/topic.php?id=4939 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 15EXPL: 0CVE-2012-6037
https://notcve.org/view.php?id=CVE-2012-6037
Multiple cross-site scripting (XSS) vulnerabilities in Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4, and other versions including 1.2, allow remote attackers to inject arbitrary web script or HTML via a CSV header with "unknown fields," which are not properly handled in error messages in the (1) bulk user, (2) group, and (3) group member upload capabilities. NOTE: this issue was originally part of CVE-2012-2243, but that ID was SPLIT due to different issues by different researchers. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4, y otras versiones incluida la v1.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una cabecera CSV con "unknown fields," el cual no es correctamente manejado en mensajes de error en las propiedades de (1) user, (2) grupo y (3) miembro de grupo. NOTA: esta vulnerabilidad fue en un principio parte del CVE-2012-2243, pero dicho ID fue dividido debido a diferentes asuntos con diferentes investigadores. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1063480 https://mahara.org/interaction/forum/topic.php?id=4937 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 4CVE-2012-2237 – Mahara 1.4.1 - Multiple Cross-Site Scripting / HTML Injection Vulnerabilities
https://notcve.org/view.php?id=CVE-2012-2237
Multiple cross-site scripting (XSS) vulnerabilities in Mahara 1.4.x before 1.4.3 and 1.5.x before 1.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) javascript innerHTML as used when generating login forms, (2) links or (3) resources URLs, and (4) the Display name in a user profile. Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en Mahara versiones 1.4.x anteriores a la versión 1.4.3 y versiones 1.5.x anteriores a la versión 1.5.2, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores relacionados con (1) javascript innerHTML como es usado cuando se generan formularios de inicio de sesión, (2) enlaces o (3) URL de recursos, y (4) el nombre Display en un perfil de usuario. • https://www.exploit-db.com/exploits/37565 http://www.debian.org/security/2012/dsa-2540 https://bugs.launchpad.net/mahara/+bug/1009774 https://bugs.launchpad.net/mahara/+bug/1009777 https://bugs.launchpad.net/mahara/+bug/1009784 https://mahara.org/interaction/forum/topic.php?id=4748 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 75EXPL: 0CVE-2012-2351
https://notcve.org/view.php?id=CVE-2012-2351
The default configuration of the auth/saml plugin in Mahara before 1.4.2 sets the "Match username attribute to Remote username" option to false, which allows remote SAML IdP servers to spoof users of other SAML IdP servers by using the same internal username. La configuración por defecto del plugin auth/SAML en Mahara antes de v1.4.2 establece el atributo "Match Username to Remote Username" a falso, lo que permite falsificar usuarios de otros servidores a los servidores remotos SAML IdP utilizando el mismo nombre de usuario interno. • http://gitorious.org/mahara/mahara/commit/f07be6020e70fa8f53cd77fdcd63e7fd7ff8aaea http://www.debian.org/security/2012/dsa-2467 http://www.openwall.com/lists/oss-security/2012/05/11/9 http://www.openwall.com/lists/oss-security/2012/05/12/4 https://bugs.launchpad.net/mahara/+bug/932909 • CWE-16: Configuration CWE-284: Improper Access Control CWE-287: Improper Authentication •