Page 4 of 21 results (0.003 seconds)

CVSS: 7.5EPSS: 1%CPEs: 14EXPL: 1

Multiple directory traversal vulnerabilities in TikiWiki 1.9.8.1 and earlier allow remote attackers to include and execute arbitrary files via an absolute pathname in (1) error_handler_file and (2) local_php parameters to (a) tiki-index.php, or (3) encoded "..%2F" sequences in the imp_language parameter to tiki-imexport_languages.php. Múltiples vulnerabilidades de escalado de directorio en el TikiWiki 1.9.8.1 y versiones anteriores permiten a atacantes remotos incluir y ejecutar ficheros de su elección a través de un nombre de ruta absoluta en los parámetros (1) error_handler_file y (2) local_php en el a) tiki-index.php, o en las secuencias (3) codificadas "..%2F" en el parámetro imp_language del tiki-imexport_languages.php. • https://www.exploit-db.com/exploits/4568 http://info.tikiwiki.org/tiki-read_article.php?articleId=15 http://www.securityfocus.com/archive/1/482801/30/0/threaded • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 7.5EPSS: 7%CPEs: 13EXPL: 0

Incomplete blacklist vulnerability in tiki-graph_formula.php in TikiWiki before 1.9.8.2 allows remote attackers to execute arbitrary code by using variable functions and variable variables to write variables whose names match the whitelist, a different vulnerability than CVE-2007-5423. Una vulnerabilidad de lista negra incompleta en el archivo tiki-graph_formula.php en TikiWiki versiones anteriores a 1.9.8.2, permite a atacantes remotos ejecutar código arbitrario mediante el uso de funciones variables y variables variantes para escribir variables cuyos nombres coincidan con la lista blanca, una vulnerabilidad diferente de CVE-2007-5423. • http://info.tikiwiki.org/tiki-read_article.php?articleId=15 http://osvdb.org/43610 http://www.securityfocus.com/archive/1/482908 http://www.securityfocus.com/bid/26220 http://www.sektioneins.de/advisories/SE-2007-01.txt • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 7.5EPSS: 1%CPEs: 11EXPL: 0

tiki-register.php in TikiWiki before 1.9.7 allows remote attackers to trigger "notification-spam" via certain vectors such as a comma-separated list of addresses in the email field, related to lack of "a minimal check on email." tiki-register.php en TikiWiki anterior a 1.9.7 permite a atacantes remotos disparar "notificación de spam" mediante vectores no especificados como una lista de direcciones separadas por coma en el campo email, relacionado con la falta de "un mínimo chequeo en email". • http://tikiwiki.cvs.sourceforge.net/tikiwiki/tiki/changelog.txt?r1=1.157.2.50&r2=1.157.2.51 http://tikiwiki.cvs.sourceforge.net/tikiwiki/tiki/tiki-register.php?r1=1.68&r2=1.69 http://www.vupen.com/english/advisories/2006/4709 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

Cross-site scripting (XSS) vulnerability in tiki-edit_structures.php in TikiWiki 1.9.6 allows remote attackers to inject arbitrary web script or HTML via the pageAlias parameter. NOTE: The provenance of this information is unknown; the details are obtained solely from third party information. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en tiki-edit_structures.php en el TikiWiki 1.9.6 permite a atacantes remotos la inyección de secuencias de comandos web o HTML de su elección mediante el parámetro pageAlias. NOTA: la procedencia de esta información es desconocida; los detalles se obtienen solamente a partir de la información de terceros. • http://secunia.com/advisories/22850 http://www.osvdb.org/30692 http://www.securityfocus.com/bid/21297 http://www.vupen.com/english/advisories/2006/4709 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 11EXPL: 0

Cross-site scripting (XSS) vulnerability in tiki-setup_base.php in TikiWiki before 1.9.7 allows remote attackers to inject arbitrary JavaScript via unspecified parameters. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en tiki-setup_base.php en TikiWiki anterior a 1.9.7 permite a atacantes remotos inyectar código JavaScript de su elección mediante parámetros no especificados. • http://tikiwiki.cvs.sourceforge.net/tikiwiki/tiki/changelog.txt?r1=1.157.2.50&r2=1.157.2.51 http://www.vupen.com/english/advisories/2006/4709 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •