Page 4 of 19 results (0.019 seconds)

CVSS: 9.1EPSS: 0%CPEs: 3EXPL: 0

Mahara 1.4.x before 1.4.4 and 1.5.x before 1.5.3 allows remote attackers to read arbitrary files or create TCP connections via an XML external entity (XXE) injection attack, as demonstrated by reading config.php. Mahara v1.4.x anterior a v1.4.4 y v1.5.x anterior a v1.5.3 permite a atacantes remotos leer archivos arbitrarios o crear conexiones TCP a través de un ataque de inyección en una entidad XML externa (XXE), como se demuestra por la lectura de config.php. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1047111 https://mahara.org/interaction/forum/topic.php?id=4869 • CWE-611: Improper Restriction of XML External Entity Reference •

CVSS: 6.8EPSS: 0%CPEs: 15EXPL: 0

Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4 allows remote attackers to conduct clickjacking attacks to delete arbitrary users and bypass CSRF protection via account/delete.php. Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4 permite a atacantes remotos realizar ataques de clickjacking para eliminar usuarios arbitrarios y eludir la protección CSRF través de account/delete.php • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1057240 https://exchange.xforce.ibmcloud.com/vulnerabilities/79273 https://mahara.org/interaction/forum/topic.php?id=4939 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 15EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4, and other versions including 1.2, allow remote attackers to inject arbitrary web script or HTML via a CSV header with "unknown fields," which are not properly handled in error messages in the (1) bulk user, (2) group, and (3) group member upload capabilities. NOTE: this issue was originally part of CVE-2012-2243, but that ID was SPLIT due to different issues by different researchers. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4, y otras versiones incluida la v1.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una cabecera CSV con "unknown fields," el cual no es correctamente manejado en mensajes de error en las propiedades de (1) user, (2) grupo y (3) miembro de grupo. NOTA: esta vulnerabilidad fue en un principio parte del CVE-2012-2243, pero dicho ID fue dividido debido a diferentes asuntos con diferentes investigadores. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1063480 https://mahara.org/interaction/forum/topic.php?id=4937 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 4

Multiple cross-site scripting (XSS) vulnerabilities in Mahara 1.4.x before 1.4.3 and 1.5.x before 1.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) javascript innerHTML as used when generating login forms, (2) links or (3) resources URLs, and (4) the Display name in a user profile. Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en Mahara versiones 1.4.x anteriores a la versión 1.4.3 y versiones 1.5.x anteriores a la versión 1.5.2, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores relacionados con (1) javascript innerHTML como es usado cuando se generan formularios de inicio de sesión, (2) enlaces o (3) URL de recursos, y (4) el nombre Display en un perfil de usuario. • https://www.exploit-db.com/exploits/37565 http://www.debian.org/security/2012/dsa-2540 https://bugs.launchpad.net/mahara/+bug/1009774 https://bugs.launchpad.net/mahara/+bug/1009777 https://bugs.launchpad.net/mahara/+bug/1009784 https://mahara.org/interaction/forum/topic.php?id=4748 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •