CVE-2012-2239
https://notcve.org/view.php?id=CVE-2012-2239
Mahara 1.4.x before 1.4.4 and 1.5.x before 1.5.3 allows remote attackers to read arbitrary files or create TCP connections via an XML external entity (XXE) injection attack, as demonstrated by reading config.php. Mahara v1.4.x anterior a v1.4.4 y v1.5.x anterior a v1.5.3 permite a atacantes remotos leer archivos arbitrarios o crear conexiones TCP a través de un ataque de inyección en una entidad XML externa (XXE), como se demuestra por la lectura de config.php. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1047111 https://mahara.org/interaction/forum/topic.php?id=4869 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2012-2246
https://notcve.org/view.php?id=CVE-2012-2246
Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4 allows remote attackers to conduct clickjacking attacks to delete arbitrary users and bypass CSRF protection via account/delete.php. Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4 permite a atacantes remotos realizar ataques de clickjacking para eliminar usuarios arbitrarios y eludir la protección CSRF través de account/delete.php • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1057240 https://exchange.xforce.ibmcloud.com/vulnerabilities/79273 https://mahara.org/interaction/forum/topic.php?id=4939 • CWE-20: Improper Input Validation •
CVE-2012-6037
https://notcve.org/view.php?id=CVE-2012-6037
Multiple cross-site scripting (XSS) vulnerabilities in Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4, and other versions including 1.2, allow remote attackers to inject arbitrary web script or HTML via a CSV header with "unknown fields," which are not properly handled in error messages in the (1) bulk user, (2) group, and (3) group member upload capabilities. NOTE: this issue was originally part of CVE-2012-2243, but that ID was SPLIT due to different issues by different researchers. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4, y otras versiones incluida la v1.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una cabecera CSV con "unknown fields," el cual no es correctamente manejado en mensajes de error en las propiedades de (1) user, (2) grupo y (3) miembro de grupo. NOTA: esta vulnerabilidad fue en un principio parte del CVE-2012-2243, pero dicho ID fue dividido debido a diferentes asuntos con diferentes investigadores. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1063480 https://mahara.org/interaction/forum/topic.php?id=4937 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-2237 – Mahara 1.4.1 - Multiple Cross-Site Scripting / HTML Injection Vulnerabilities
https://notcve.org/view.php?id=CVE-2012-2237
Multiple cross-site scripting (XSS) vulnerabilities in Mahara 1.4.x before 1.4.3 and 1.5.x before 1.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) javascript innerHTML as used when generating login forms, (2) links or (3) resources URLs, and (4) the Display name in a user profile. Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en Mahara versiones 1.4.x anteriores a la versión 1.4.3 y versiones 1.5.x anteriores a la versión 1.5.2, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores relacionados con (1) javascript innerHTML como es usado cuando se generan formularios de inicio de sesión, (2) enlaces o (3) URL de recursos, y (4) el nombre Display en un perfil de usuario. • https://www.exploit-db.com/exploits/37565 http://www.debian.org/security/2012/dsa-2540 https://bugs.launchpad.net/mahara/+bug/1009774 https://bugs.launchpad.net/mahara/+bug/1009777 https://bugs.launchpad.net/mahara/+bug/1009784 https://mahara.org/interaction/forum/topic.php?id=4748 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-2479
https://notcve.org/view.php?id=CVE-2010-2479
Cross-site scripting (XSS) vulnerability in HTML Purifier before 4.1.1, as used in Mahara and other products, when the browser is Internet Explorer, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en HTML Purifier anterior v4.1.1, como el usado en Mahara y otros productos, cuando el navegador es Internet Explorer, permite a atacantes remotos inyectar código web o HTML de su elección a través de vectores no especificados. • http://htmlpurifier.org/news/2010/0531-4.1.1-released http://repo.or.cz/w/htmlpurifier.git/commitdiff/18e538317a877a0509ae71a860429c41770da230 http://secunia.com/advisories/39613 http://secunia.com/advisories/40431 http://wiki.mahara.org/Release_Notes/1.0.15 http://wiki.mahara.org/Release_Notes/1.1.9 http://wiki.mahara.org/Release_Notes/1.2.5 http://www.securityfocus.com/bid/41259 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •