CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2011-2499
https://notcve.org/view.php?id=CVE-2011-2499
Mambo CMS through 4.6.5 has multiple XSS. Mambo CMS versiones hasta 4.6.5, presenta múltiples vulnerabilidades de tipo XSS. • https://www.openwall.com/lists/oss-security/2011/06/28/15 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2018-20628
https://notcve.org/view.php?id=CVE-2018-20628
PHP Scripts Mall Charity Foundation Script 1 through 3 allows directory traversal via a direct request for a listing of an uploads directory such as the wp-content/uploads/2018/12 directory. PHP Scripts Mall Charity Foundation Script, desde la versión 1 hasta la 3, permite un salto de directorio mediante una petición directa de un listado de directorios de subida, como el directorio wp-content/uploads/2018/12. • https://gkaim.com/cve-2018-20628-vikas-chaudhary • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2013-2565
https://notcve.org/view.php?id=CVE-2013-2565
A vulnerability in Mambo CMS v4.6.5 where the scripts thumbs.php, editorFrame.php, editor.php, images.php, manager.php discloses the root path of the webserver. Una vulnerabilidad en Mambo CMS v4.6.5 en la que los scripts thumbs.php, editorFrame.php, editor.php, images.php y manager.php divulgan la ruta root del servidor web. • http://sourceforge.net/projects/mambo http://www.vapidlabs.com/advisory.php?v=75 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.6EPSS: 0%CPEs: 1EXPL: 2CVE-2014-7957 – Pods <= 2.4.3 - Multiple Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2014-7957
Multiple cross-site request forgery (CSRF) vulnerabilities in the Pods plugin before 2.5 for WordPress allow remote attackers to hijack the authentication of administrators for requests that (1) conduct cross-site scripting (XSS) attacks via the toggled parameter in a toggle action in the pods-components page to wp-admin/admin.php, (2) delete a pod in a delete action in the pods page to wp-admin/admin.php, (3) reset pod settings and data via the pods_reset parameter in the pod-settings page to wp-admin/admin.php, (4) deactivate and reset pod data via the pods_reset_deactivate parameter in the pod-settings page to wp-admin/admin.php, (5) delete the admin role via the id parameter in a delete action in the pods-component-roles-and-capabilities page to wp-admin/admin.php, or (6) enable "roles and capabilities" in a toggle action in the pods-components page to wp-admin/admin.php. Múltiples vulnerabilidades de CSRF en el plugin Pods anterior a 2.5 para WordPress permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que (1) realizan ataques de XSS a través del parámetro toggled en una acción toggle en la página de componentes de pods en wp-admin/admin.php, (2) eliminan un pod en una acción de eliminación en la página de pods en wp-admin/admin.php, (3) reconfiguran las configuraciones y datos de pods a través del parámetro pods_reset en la página de las configuraciones de pods en wp-admin/admin.php, (4) desactivan y reconfiguran datos de pods a través del parámetro pods_reset_deactivate en la página de configuraciones de pods en wp-admin/admin.php, (5) eliminan el rol de administración a través del parámetro id en una acción de eliminación en la página de roles y capacidades de los componentes de pods en wp-admin/admin.php, o (6) habilitan rols y capacidades en una acción toggle en la página de componentes de pods en wp-admin/admin.php. WordPress Pods plugin versions 2.4.3 and below suffer from cross site request forgery and cross site scripting vulnerabilities. • http://packetstormsecurity.com/files/129890/WordPress-Pods-2.4.3-CSRF-Cross-Site-Scripting.html http://seclists.org/fulldisclosure/2015/Jan/26 http://www.securityfocus.com/archive/1/534437/100/0/threaded http://www.securityfocus.com/bid/71996 https://wordpress.org/plugins/pods/changelog • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 2.1EPSS: 0%CPEs: 1EXPL: 2CVE-2013-2563
https://notcve.org/view.php?id=CVE-2013-2563
Mambo CMS 4.6.5 uses world-readable permissions on configuration.php, which allows local users to obtain the admin password hash by reading the file. Mambo CMS 4.6.5 utiliza permisos de lectura universal en configuration.php, lo que permite a usuarios locales obtener el hash de contraseña de administración mediante la lectura del fichero. • http://packetstormsecurity.com/files/108462/mambocms465-permdosdisclose.txt http://seclists.org/oss-sec/2013/q1/689 http://www.vapid.dhs.org/advisories/mambo_cms_4.6.5.html • CWE-264: Permissions, Privileges, and Access Controls •