CVSS: 4.3EPSS: 1%CPEs: 15EXPL: 0CVE-2012-2243
https://notcve.org/view.php?id=CVE-2012-2243
Cross-site scripting (XSS) vulnerability in Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4 allows remote attackers to inject arbitrary web script or HTML by uploading an XML file with the xhtml extension, which is rendered inline as script. NOTE: this can be leveraged with CVE-2012-2244 to execute arbitrary code without authentication, as demonstrated by modifying the clamav path. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML mediante la subida de un fichero XML con la extensión xhtml. NOTA: esto puede ser aprovechado con CVE-2012-2244 para ejecutar código arbitarrio sin autenticación, como se demostró modificando la ruta de clamav. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1055232 https://mahara.org/interaction/forum/topic.php?id=4937 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 0%CPEs: 15EXPL: 0CVE-2012-2246
https://notcve.org/view.php?id=CVE-2012-2246
Mahara 1.4.x before 1.4.5 and 1.5.x before 1.5.4 allows remote attackers to conduct clickjacking attacks to delete arbitrary users and bypass CSRF protection via account/delete.php. Mahara v1.4.x anterior a v1.4.5 y v1.5.x anterior a v1.5.4 permite a atacantes remotos realizar ataques de clickjacking para eliminar usuarios arbitrarios y eludir la protección CSRF través de account/delete.php • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1057240 https://exchange.xforce.ibmcloud.com/vulnerabilities/79273 https://mahara.org/interaction/forum/topic.php?id=4939 • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 0%CPEs: 3EXPL: 0CVE-2012-2239
https://notcve.org/view.php?id=CVE-2012-2239
Mahara 1.4.x before 1.4.4 and 1.5.x before 1.5.3 allows remote attackers to read arbitrary files or create TCP connections via an XML external entity (XXE) injection attack, as demonstrated by reading config.php. Mahara v1.4.x anterior a v1.4.4 y v1.5.x anterior a v1.5.3 permite a atacantes remotos leer archivos arbitrarios o crear conexiones TCP a través de un ataque de inyección en una entidad XML externa (XXE), como se demuestra por la lectura de config.php. • http://www.debian.org/security/2012/dsa-2591 https://bugs.launchpad.net/mahara/+bug/1047111 https://mahara.org/interaction/forum/topic.php?id=4869 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 4CVE-2012-2237 – Mahara 1.4.1 - Multiple Cross-Site Scripting / HTML Injection Vulnerabilities
https://notcve.org/view.php?id=CVE-2012-2237
Multiple cross-site scripting (XSS) vulnerabilities in Mahara 1.4.x before 1.4.3 and 1.5.x before 1.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) javascript innerHTML as used when generating login forms, (2) links or (3) resources URLs, and (4) the Display name in a user profile. Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en Mahara versiones 1.4.x anteriores a la versión 1.4.3 y versiones 1.5.x anteriores a la versión 1.5.2, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores relacionados con (1) javascript innerHTML como es usado cuando se generan formularios de inicio de sesión, (2) enlaces o (3) URL de recursos, y (4) el nombre Display en un perfil de usuario. • https://www.exploit-db.com/exploits/37565 http://www.debian.org/security/2012/dsa-2540 https://bugs.launchpad.net/mahara/+bug/1009774 https://bugs.launchpad.net/mahara/+bug/1009777 https://bugs.launchpad.net/mahara/+bug/1009784 https://mahara.org/interaction/forum/topic.php?id=4748 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •