CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2017-17454
https://notcve.org/view.php?id=CVE-2017-17454
Mahara 16.10 before 16.10.7 and 17.04 before 17.04.5 and 17.10 before 17.10.2 have a Cross Site Scripting (XSS) vulnerability when a user enters invalid UTF-8 characters. These are now going to be discarded in Mahara along with NULL characters and invalid Unicode characters. Mahara will also avoid direct $_GET and $_POST usage where possible, and instead use param_exists() and the correct param_*() function to fetch the expected value. Mahara 16.10 en versiones anteriores a la 16.10.7, versiones 17.04 anteriores a la 17.04.5 y versiones 17.10 anteriores a la 17.10.2 tiene una vulnerabilidad de Cross Site Scripting (XSS) cuando un usuario introduce caracteres UTF-8 no válidos. Estos serán descartados en Mahara junto con caracteres NULL y caracteres Unicode inválidos. • https://bugs.launchpad.net/mahara/+bug/1732987 https://mahara.org/interaction/forum/topic.php?id=8149 https://reviews.mahara.org/#/c/8191 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 3EXPL: 0CVE-2017-17455
https://notcve.org/view.php?id=CVE-2017-17455
Mahara 16.10 before 16.10.7, 17.04 before 17.04.5, and 17.10 before 17.10.2 are vulnerable to being forced, via a man-in-the-middle attack, to interact with Mahara on the HTTP protocol rather than HTTPS even when an SSL certificate is present. Mahara 16.10 en versiones anteriores a la 16.10.7, versiones 17.04 anteriores a la 17.04.5 y versiones 17.10 anteriores a la 17.10.2 es vulnerable a ser forzado, mediante un ataque Man-in-the-Middle (MitM), a interactuar con Mahara en el protocolo HTTP en lugar de HTTPS, incluso auque haya un certificado SSL. • https://bugs.launchpad.net/mahara/+bug/1734767 https://mahara.org/interaction/forum/topic.php?id=8150 https://reviews.mahara.org/#/c/8312 • CWE-295: Improper Certificate Validation •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000141
https://notcve.org/view.php?id=CVE-2017-1000141
An issue was discovered in Mahara before 18.10.0. It mishandled user requests that could discontinue a user's ability to maintain their own account (changing username, changing primary email address, deleting account). The correct behavior was to either prompt them for their password and/or send a warning to their primary email address. Se ha descubierto un problema en versiones anteriores a la 18.10.0 de Mahara. Manejaba de manera incorrecta las peticiones de los usuarios que podían interrumpir la capacidad de un usuario de mantener su propia cuenta (cambiar el nombre de usuario, cambiar la dirección de correo electrónico principal, eliminar la cuenta). • https://bugs.launchpad.net/mahara/+bug/1422492 • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVSS: 7.5EPSS: 0%CPEs: 18EXPL: 0CVE-2017-1000133
https://notcve.org/view.php?id=CVE-2017-1000133
Mahara 15.04 before 15.04.8 and 15.10 before 15.10.4 and 16.04 before 16.04.2 are vulnerable to a user - in some circumstances causing another user's artefacts to be included in a Leap2a export of their own pages. Mahara, en versiones 15.04 anteriores a la 15.04.8, versiones 15.10 anteriores a la 15.10.4 y versiones 16.04 anteriores a la 16.04.2, es vulnerable a que, en algunas circunstancias, un usuario provoque que se incluyan los artefactos de otro usuario en una exportación Leap2a de sus propias páginas. • https://bugs.launchpad.net/mahara/+bug/1234615 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 18EXPL: 1CVE-2017-1000155
https://notcve.org/view.php?id=CVE-2017-1000155
Mahara 15.04 before 15.04.8 and 15.10 before 15.10.4 and 16.04 before 16.04.2 are vulnerable to profile pictures being accessed without any access control checks consequently allowing any of a user's uploaded profile pictures to be viewable by anyone, whether or not they were currently selected as the "default" or used in any pages. Mahara, en versiones 15.04 anteriores a la 15.04.8, versiones 15.10 anteriores a la 15.10.4 y versiones 16.04 anteriores a la 16.04.2, es vulnerable a que se acceda a fotos de perfil sin ninguna verificación de control de acceso. Como consecuencia, esto permite que cualquier usuario pueda visualizar las fotos de perfil subidas por los otros usuarios, tanto si están establecidas como foto por defecto, como si se utilizan en cualquier página. • https://bugs.launchpad.net/mahara/+bug/1600069 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •