CVSS: 4.3EPSS: 0%CPEs: 52EXPL: 0CVE-2013-4198
https://notcve.org/view.php?id=CVE-2013-4198
11 Mar 2014 — mail_password.py in Plone 2.1 through 4.1, 4.2.x through 4.2.5, and 4.3.x through 4.3.1 allows remote authenticated users to bypass the prohibition on password changes via the forgotten password email functionality. mail_password.py en Plone 2.1 hasta 4.1, 4.2.x hasta 4.2.5 y 4.3.x hasta 4.3.1 permite a usuarios remotos autenticados evadir la prohibición sobre el cambio de contraseñas a través de la funcionalidad del email de contraseña olvidada. • http://plone.org/products/plone-hotfix/releases/20130618 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 3.5EPSS: 0%CPEs: 52EXPL: 0CVE-2013-4199
https://notcve.org/view.php?id=CVE-2013-4199
11 Mar 2014 — (1) cb_decode.py and (2) linkintegrity.py in Plone 2.1 through 4.1, 4.2.x through 4.2.5, and 4.3.x through 4.3.1 allow remote authenticated users to cause a denial of service (resource consumption) via a large zip archive, which is expanded (decompressed). (1) cb_decode.py y (2) linkintegrity.py en Plone 2.1 hasta 4.1, 4.2.x hasta 4.2.5 y 4.3.x hasta 4.3.1 permiten a usuarios remotos autenticados causar una denegación de servicio (consumo de recursos) a través de un archivo zip grande, el cual es expandido ... • http://plone.org/products/plone-hotfix/releases/20130618 • CWE-20: Improper Input Validation •
CVSS: 5.8EPSS: 7%CPEs: 46EXPL: 2CVE-2013-4200 – Plone - 'in_portal.py' < 4.1.3 Session Hijacking
https://notcve.org/view.php?id=CVE-2013-4200
17 Jan 2014 — The isURLInPortal method in the URLTool class in in_portal.py in Plone 2.1 through 4.1, 4.2.x through 4.2.5, and 4.3.x through 4.3.1 treats URLs starting with a space as a relative URL, which allows remote attackers to bypass the allow_external_login_sites filtering property, redirect users to arbitrary web sites, and conduct phishing attacks via a space before a URL in the "next" parameter to acl_users/credentials_cookie_auth/require_login. El método isURLInPortal en la clase URLTool en in_portal.py en Plo... • https://packetstorm.news/files/id/124818 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.3EPSS: 0%CPEs: 62EXPL: 0CVE-2011-4462
https://notcve.org/view.php?id=CVE-2011-4462
30 Dec 2011 — Plone 4.1.3 and earlier computes hash values for form parameters without restricting the ability to trigger hash collisions predictably, which allows remote attackers to cause a denial of service (CPU consumption) by sending many crafted parameters. Plone v4.1.3 y anteriores calcula los valores hash de los parámetros de forma, sin restringir la capacidad de desencadenar colisiones hash predecible, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de CPU) mediante el envío de gr... • http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 21EXPL: 1CVE-2011-1340
https://notcve.org/view.php?id=CVE-2011-1340
05 Aug 2011 — Cross-site scripting (XSS) vulnerability in skins/plone_templates/default_error_message.pt in Plone before 2.5.3 allows remote attackers to inject arbitrary web script or HTML via the type_name parameter to Members/ipa/createObject. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en skins/plone_templates/default_error_message.pt de Plone en versiones anteriores a la 2.5.3. Permite a usuarios remotos inyectar codigo de script web o código HTML de su elección a través del parámetro type_name... • http://dev.plone.org/plone/changeset/12262 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 57EXPL: 0CVE-2011-1948 – plone: A reflected cross site scripting vulnerability
https://notcve.org/view.php?id=CVE-2011-1948
06 Jun 2011 — Cross-site scripting (XSS) vulnerability in Plone 4.1 and earlier allows remote attackers to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Plone v4.1 y anteriores , permite a atacantes remotos inyectar secuencias de comandos web o HTML a través una URL manipulada. • http://osvdb.org/72727 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 44EXPL: 0CVE-2011-1949
https://notcve.org/view.php?id=CVE-2011-1949
06 Jun 2011 — Cross-site scripting (XSS) vulnerability in the safe_html filter in Products.PortalTransforms in Plone 2.1 through 4.1 allows remote authenticated users to inject arbitrary web script or HTML via unspecified vectors, a different vulnerability than CVE-2010-2422. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Filtro safe_html en Products.PortalTransforms de Plone v2.1 hasta v4.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no ... • http://osvdb.org/72728 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 1%CPEs: 34EXPL: 0CVE-2011-0720 – plone: unauthorized remote administrative access
https://notcve.org/view.php?id=CVE-2011-0720
03 Feb 2011 — Unspecified vulnerability in Plone 2.5 through 4.0, as used in Conga, luci, and possibly other products, allows remote attackers to obtain administrative access, read or create arbitrary content, and change the site skin via unknown vectors. Una vulnerabilidad no especificada en Plone versión 2.5 hasta 4.0, como se utiliza en Conga, luci, y posiblemente otros productos, permite a los atacantes remotos obtener acceso administrativo, leer o crear contenido arbitrario, y cambiar el aspecto del sitio por medio ... • http://osvdb.org/70753 • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 36EXPL: 0CVE-2010-2422
https://notcve.org/view.php?id=CVE-2010-2422
23 Jun 2010 — Cross-site scripting (XSS) vulnerability in PortalTransforms in Plone 2.1 through 3.3.4 before hotfix 20100612 allows remote attackers to inject arbitrary web script or HTML via the safe_html transform. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en PortalTransforms en Plone v2.1 hasta v3.3.4 anterior hotfix 20100612 permite a atacantes remotos inyectar código web o HTML de su elección a través de safe_html transform. • http://plone.org/products/plone/security/advisories/cve-2010-unassigned-html-injection-in-safe_html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 11EXPL: 1CVE-2008-4571
https://notcve.org/view.php?id=CVE-2008-4571
15 Oct 2008 — Cross-site scripting (XSS) vulnerability in the LiveSearch module in Plone before 3.0.4 allows remote attackers to inject arbitrary web script or HTML via the Description field for search results, as demonstrated using the onerror Javascript even in an IMG tag. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo LiveSearch de Plone antes de 3.0.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML mediante el campo Description para resultados de búsqueda, como s... • http://dev.plone.org/plone/ticket/7439 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •