CVSS: 6.5EPSS: 0%CPEs: 17EXPL: 1CVE-2017-1000136
https://notcve.org/view.php?id=CVE-2017-1000136
Mahara 1.8 before 1.8.6 and 1.9 before 1.9.4 and 1.10 before 1.10.1 and 15.04 before 15.04.0 are vulnerable to old sessions not being invalidated after a password change. Mahara, en versiones 1.8 anteriores a la 1.8.6, versiones 1.9 anteriores a la 1.9.4, versiones 1.10 anteriores a la 1.10.1 y versiones 15.04 anteriores a la 15.04.0, es vulnerable a que no se invaliden las sesiones antiguas después de un cambio de contraseña. • https://bugs.launchpad.net/mahara/+bug/1363873 • CWE-613: Insufficient Session Expiration •
CVSS: 6.8EPSS: 0%CPEs: 21EXPL: 1CVE-2017-1000147
https://notcve.org/view.php?id=CVE-2017-1000147
Mahara 1.9 before 1.9.8 and 1.10 before 1.10.6 and 15.04 before 15.04.3 are vulnerable to perform a cross-site request forgery (CSRF) attack on the uploader contained in Mahara's filebrowser widget. This could allow an attacker to trick a Mahara user into unknowingly uploading malicious files into their Mahara account. Mahara, en versiones 1.9 anteriores a la 1.9.8, versiones 1.10 anteriores a la 1.10.6 y versiones 15.04 anteriores a la 15.04.3, es vulnerable a que se realicen ataques Cross-Site Request Forgery (CSRF) en la herramienta de subida incluida en el widget de búsqueda de archivos de Mahara. Esto podría permitir que un atacante engañe a un usuario de Mahara para que suba archivos maliciosos a su cuenta de Mahara sin saberlo. • https://bugs.launchpad.net/mahara/+bug/1480329 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 21EXPL: 1CVE-2017-1000140
https://notcve.org/view.php?id=CVE-2017-1000140
Mahara 1.8 before 1.8.7 and 1.9 before 1.9.5 and 1.10 before 1.10.3 and 15.04 before 15.04.0 are vulnerable to a maliciously created .xml file that can have its code executed when user tries to download the file. Mahara, en versiones 1.8 anteriores a la 1.8.7, versiones 1.9 anteriores a la 1.9.5, versiones 1.10 anteriores a la 1.10.3 y versiones 15.04 anteriores a la 15.04.0, es vulnerable a que un archivo .xml creado con fines maliciosos ejecute su código cuando un usuario intenta descargar el archivo. • https://bugs.launchpad.net/mahara/+bug/1404117 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 21EXPL: 1CVE-2017-1000156
https://notcve.org/view.php?id=CVE-2017-1000156
Mahara 15.04 before 15.04.9 and 15.10 before 15.10.5 and 16.04 before 16.04.3 are vulnerable to a group's configuration page being editable by any group member even when they didn't have the admin role. Mahara, en versiones 15.04 anteriores a la 15.04.9, versiones 15.10 anteriores a la 15.10.5 y versiones 16.04 anteriores a la 16.04.3, es vulnerable a que cualquier miembro de un grupo pueda editar la página de configuración del grupo, incluso si este no tiene el rol de administrador. • https://bugs.launchpad.net/mahara/+bug/1609200 • CWE-269: Improper Privilege Management •
CVSS: 5.4EPSS: 0%CPEs: 18EXPL: 1CVE-2017-1000146
https://notcve.org/view.php?id=CVE-2017-1000146
Mahara 1.9 before 1.9.7 and 1.10 before 1.10.5 and 15.04 before 15.04.2 are vulnerable to the arbitrary execution of Javascript in the browser of a logged-in user because the title of the portfolio page was not being properly escaped in the AJAX script that updates the Add/remove watchlist link on artefact detail pages. Mahara, en versiones 1.9 anteriores a la 1.9.7, versiones 1.10 anteriores a la 1.10.5 y versiones 15.04 anteriores a la 15.04.2, es vulnerable a la ejecución arbitraria de código JavaScript en el navegador de un usuario que haya iniciado sesión, debido a que el título del portfolio no se escapó correctamente en el script AJAX que actualiza el enlace Add/remove (Añadir/eliminar) de la lista de actividades en páginas de detalles de artefactos. • https://bugs.launchpad.net/mahara/+bug/1472439 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •