CVE-2020-23207
https://notcve.org/view.php?id=CVE-2020-23207
A stored cross site scripting (XSS) vulnerability in phplist 3.5.3 allows attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Edit Values" field under the "Configure Attributes" module. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Edit Values" bajo el módulo "Configure Attributes" • https://github.com/phpList/phplist3/issues/664 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-23361
https://notcve.org/view.php?id=CVE-2020-23361
phpList 3.5.3 allows type juggling for login bypass because == is used instead of === for password hashes, which mishandles hashes that begin with 0e followed by exclusively numerical characters. phpList versión 3.5.3, permite el malabarismo de tipos para la omisión de inicio de sesión porque es usado == en lugar de === para los hashes de contraseña, que maneja inapropiadamente los hashes que comienzan con 0e seguidos de caracteres exclusivamente numéricos • https://github.com/phpList/phplist3/issues/668 •
CVE-2021-3188
https://notcve.org/view.php?id=CVE-2021-3188
phpList 3.6.0 allows CSV injection, related to the email parameter, and /lists/admin/ exports. phpList versión 3.6.0, permite una inyección CSV, relacionada con el parámetro email, y las exportaciones de /lists/admin/ • https://wehackmx.com/security-research/WeHackMX-2021-001 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVE-2020-35708
https://notcve.org/view.php?id=CVE-2020-35708
phpList 3.5.9 allows SQL injection by admins who provide a crafted fourth line of a file to the "Config - Import Administrators" page. phpList versión 3.5.9, permite una inyección de SQL por parte de los administradores que proporcionan una cuarta línea diseñada de un archivo hacia la página "Config - Import Administrators" • https://sourceforge.net/projects/phplist/files/phplist https://tufangungor.github.io/exploit/2020/12/15/phplist-3.5.9-sql-injection.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2020-15072
https://notcve.org/view.php?id=CVE-2020-15072
An issue was discovered in phpList through 3.5.4. An error-based SQL Injection vulnerability exists via the Import Administrators section. Se detectó un problema en phpList versiones hasta 3.5.4. Una vulnerabilidad de Inyección SQL basada en errores por medio de la sección Import Administrators • https://blog.telspace.co.za/2020/07/phplist-cve-2020-15072-cve-2020-15073.html https://discuss.phplist.org/t/phplist-3-5-5-has-been-released/6377 https://www.phplist.org/newslist/phplist-3-5-5-release-notes • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •