CVE-2021-40313
https://notcve.org/view.php?id=CVE-2021-40313
Piwigo v11.5 was discovered to contain a SQL injection vulnerability via the parameter pwg_token in /admin/batch_manager_global.php. Se ha detectado que Piwigo versión v11.5, contiene una vulnerabilidad de inyección SQL por medio del parámetro pwg_token en el archivo /admin/batch_manager_global.php • https://github.com/Piwigo/Piwigo/issues/1469 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2020-22150
https://notcve.org/view.php?id=CVE-2020-22150
A cross site scripting (XSS) vulnerability in /admin.php?page=permalinks of Piwigo 2.10.1 allows attackers to execute arbitrary web scripts or HTML. Una vulnerabilidad de tipo cross site scripting (XSS) en el archivo /admin.php?page=permalinks de Piwigo versión 2.10.1 permite a atacantes ejecutar scripts web o HTML arbitrarios • https://github.com/Piwigo/Piwigo/issues/1158 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-22148
https://notcve.org/view.php?id=CVE-2020-22148
A stored cross site scripting (XSS) vulnerability in /admin.php?page=tags of Piwigo 2.10.1 allows attackers to execute arbitrary web scripts or HTML. Una vulnerabilidad de tipo cross site scripting (XSS) almacenado en el archivo /admin.php?page=tags de Piwigo versión 2.10.1, permite a atacantes ejecutar scripts web o HTML arbitrarios • https://github.com/Piwigo/Piwigo/issues/1157 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-32615
https://notcve.org/view.php?id=CVE-2021-32615
Piwigo 11.4.0 allows admin/user_list_backend.php order[0][dir] SQL Injection. Piwigo versión 11.4.0 permite la inyección SQL en admin/user_list_backend.php order[0][dir]. • https://github.com/Piwigo/Piwigo/commit/2ce1e5952238eba0fe5c5d6537ebdc76cb970b52 https://github.com/Piwigo/Piwigo/issues/1410 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2021-27973 – Piwigo 11.3.0 - 'language' SQL
https://notcve.org/view.php?id=CVE-2021-27973
SQL injection exists in Piwigo before 11.4.0 via the language parameter to admin.php?page=languages. Una inyección SQL se presenta en Piwigo versiones anteriores a 11.4.0, por medio del parámetro language en admin.php?page=languages. Piwigo version 11.3.0 suffers from a remote SQL injection vulnerability. • https://www.exploit-db.com/exploits/49818 http://packetstormsecurity.com/files/162404/Piwigo-11.3.0-SQL-Injection.html https://github.com/Piwigo/Piwigo/issues/1352 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •