CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8943
https://notcve.org/view.php?id=CVE-2014-8943
01 Jun 2020 — Lexiglot through 2014-11-20 allows SSRF via the admin.php?page=projects svn_url parameter. Lexiglot hasta el 20-11-2014, permite un ataque de tipo SSRF por medio del parámetro svn_url de admin.php?page=projects. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8944
https://notcve.org/view.php?id=CVE-2014-8944
01 Jun 2020 — Lexiglot through 2014-11-20 allows XSS (Reflected) via the username, or XSS (Stored) via the admin.php?page=config install_name, intro_message, or new_file_content parameter. Lexiglot hasta el 20-11-2014, permite un ataque de tipo XSS (Reflejado) por medio del nombre de usuario, o un ataque de tipo XSS (Almacenado) por medio de lo parámetro install_name, intro_message o new_file_content de admin.php?page=config. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8937
https://notcve.org/view.php?id=CVE-2014-8937
01 Jun 2020 — Lexiglot through 2014-11-20 allows denial of service because api/update.php launches svn update operations that use a great deal of resources. Lexiglot hasta el 20-11-2014, permite una denegación de servicio porque el archivo api/update.php inicia operaciones de actualización de svn que utilizan una gran cantidad de recursos. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-400: Uncontrolled Resource Consumption •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8938
https://notcve.org/view.php?id=CVE-2014-8938
01 Jun 2020 — Lexiglot through 2014-11-20 allows local users to obtain sensitive information by listing a process because the username and password are on the command line. Lexiglot hasta el 20-11-2014, permite a usuarios locales obtener información confidencial al listar un proceso porque el nombre de usuario y la contraseña están sobre la línea de comandos. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-522: Insufficiently Protected Credentials •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8939
https://notcve.org/view.php?id=CVE-2014-8939
01 Jun 2020 — Lexiglot through 2014-11-20 allows remote attackers to obtain sensitive information (full path) via an include/smarty/plugins/modifier.date_format.php request if PHP has a non-recommended configuration that produces warning messages. Lexiglot hasta el 20-11-2014, permite a atacantes remotos obtener información confidencial (ruta completa) por medio de una petición al archivo include/smarty/plugins/modifier.date_format.php si PHP presenta una configuración no recomendada que produce mensajes de advertencia. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8940
https://notcve.org/view.php?id=CVE-2014-8940
01 Jun 2020 — Lexiglot through 2014-11-20 allows remote attackers to obtain sensitive information (names and details of projects) by visiting the /update.log URI. Lexiglot hasta el 20-11-2014, permite a atacantes remotos obtener información confidencial (nombres y detalles de los proyectos) al visitar el URI /update.log. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 17%CPEs: 1EXPL: 1CVE-2014-8945
https://notcve.org/view.php?id=CVE-2014-8945
01 Jun 2020 — admin.php?page=projects in Lexiglot through 2014-11-20 allows command injection via username and password fields. admin.php?page=projects en Lexiglot hasta el 20-11-2014, permite una inyección de comandos por medio de los campos username y password. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-9468
https://notcve.org/view.php?id=CVE-2020-9468
26 Mar 2020 — The Community plugin 2.9.e-beta for Piwigo allows users to set image information on images in albums for which they do not have permission, by manipulating the image_id parameter. El plugin Community versión 2.9.e-beta para Piwigo, permite a usuarios establecer información de imagen sobre imágenes en álbumes para los que no tienen permiso, al manipular el parámetro image_id. • https://github.com/plegall/Piwigo-community/issues/49 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2020-9467 – Piwigo 2.10.1 - Cross Site Scripting
https://notcve.org/view.php?id=CVE-2020-9467
26 Mar 2020 — Piwigo 2.10.1 has stored XSS via the file parameter in a /ws.php request because of the pwg.images.setInfo function. Piwigo versión 2.10.1, presenta una vulnerabilidad de tipo XSS almacenado, por medio del parámetro file en una petición del archivo /ws.php debido a la función pwg.images.setInfo. Piwigo version 2.10.1 suffers from a cross site scripting vulnerability. • https://packetstorm.news/files/id/159191 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-8089
https://notcve.org/view.php?id=CVE-2020-8089
10 Feb 2020 — Piwigo 2.10.1 is affected by stored XSS via the Group Name Field to the group_list page. Piwigo versión 2.10.1, está afectado por una vulnerabilidad de tipo XSS almacenado por medio del Group Name Field en la página group_list. • https://github.com/Piwigo/Piwigo/issues/1150 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •