Page 6 of 35 results (0.019 seconds)

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1

CVE-2021-24406 – wpForo Forum < 1.9.7 - Open Redirect

https://notcve.org/view.php?id=CVE-2021-24406

The wpForo Forum WordPress plugin before 1.9.7 did not validate the redirect_to parameter in the login form of the forum, leading to an open redirect issue after a successful login. Such issue could allow an attacker to induce a user to use a login URL redirecting to a website under their control and being a replica of the legitimate one, asking them to re-enter their credentials (which will then in the attacker hands) El plugin wpForo Forum de WordPress versiones anteriores a 1.9.7,[ no comprueba el parámetro redirect_to en el formulario de inicio de sesión del foro, conllevando a un problema de redirección abierta tras un inicio de sesión con éxito. Este problema podría permitir a un atacante inducir a un usuario a usar una URL de inicio de sesión que redirigiera a un sitio web bajo su control y que fuera una réplica del legítimo, pidiéndole que volviera a introducir sus credenciales (que luego estarían en manos del atacante) • https://wpscan.com/vulnerability/a9284931-555b-4c96-86a3-09e1040b0388 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 10.0EPSS: 97%CPEs: 1EXPL: 9

CVE-2020-24186 – Comments - wpDiscuz 7.0 - 7.0.4 - Unauthenticated Arbitrary File Upload leading to Remote Code Execution

https://notcve.org/view.php?id=CVE-2020-24186

A Remote Code Execution vulnerability exists in the gVectors wpDiscuz plugin 7.0 through 7.0.4 for WordPress, which allows unauthenticated users to upload any type of file, including PHP files via the wmuUploadFiles AJAX action. Se presenta una vulnerabilidad de ejecución de código remota en el plugin gVectors wpDiscuz versiones 7.0 hasta 7.0.4 para WordPress, que permite a usuarios no autenticados cargar cualquier tipo de archivo, incluyendo archivos PHP por medio de la acción wmuUploadFiles AJAX. • https://www.exploit-db.com/exploits/49962 https://www.exploit-db.com/exploits/49967 https://github.com/hev0x/CVE-2020-24186-wpDiscuz-7.0.4-RCE https://github.com/Sakura-501/CVE-2020-24186-exploit https://github.com/meicookies/CVE-2020-24186 http://packetstormsecurity.com/files/162983/WordPress-wpDiscuz-7.0.4-Shell-Upload.html http://packetstormsecurity.com/files/163012/WordPress-wpDiscuz-7.0.4-Remote-Code-Execution.html http://packetstormsecurity.com/files/163302/WordPress-wpDiscuz-7.0 • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2

CVE-2020-13640 – Comments - wpDiscuz <= 5.3.5 - Blind SQL Injection via order Parameter

https://notcve.org/view.php?id=CVE-2020-13640

A SQL injection issue in the gVectors wpDiscuz plugin 5.3.5 and earlier for WordPress allows remote attackers to execute arbitrary SQL commands via the order parameter of a wpdLoadMoreComments request. (No 7.x versions are affected.) Un problema de inyección SQL en el plugin gVectors wpDiscuz versiones 5.3.5 y anteriores para WordPress, permite a los atacantes remotos ejecutan comandos SQL arbitrarios por medio del parámetro order de una petición de wpdLoadMoreComments. (versiones 7.x no están afectadas) • https://github.com/asterite3/CVE-2020-13640 http://www.openwall.com/lists/oss-security/2020/07/06/1 https://plugins.trac.wordpress.org/browser/wpdiscuz/tags/5.3.6 https://plugins.trac.wordpress.org/changeset/2323200 https://wordpress.org/plugins/wpdiscuz/#developers https://wpdiscuz.com/community/news/security-vulnerability-issue-in-5-3-5-please-udate • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1

CVE-2019-19112 – wpForo Forum <= 1.6.5 - Cross-Site Scripting via wpf-dw-td-value class

https://notcve.org/view.php?id=CVE-2019-19112

The wpForo plugin 1.6.5 for WordPress allows XSS involving the wpf-dw-td-value class of dashboard.php. El plugin wpForo versión 1.6.5 para WordPress, permite un ataque de tipo XSS involucrando la clase wpf-dw-td-value del archivo dashboard.php • https://twitter.com/Sh0ckFR/status/1257298443527053313 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1

CVE-2019-19110 – wpForo Forum <= 1.6.5 - Cross-Site Scripting via s parameter

https://notcve.org/view.php?id=CVE-2019-19110

The wpForo plugin 1.6.5 for WordPress allows XSS via the wp-admin/admin.php?page=wpforo-phrases s parameter. El plugin wpForo versión 1.6.5 para WordPress, permite un ataque de tipo XSS por medio del parámetro s de wp-admin/admin.php?page=wpforo-expressions • https://twitter.com/Sh0ckFR/status/1257298443527053313 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •