CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-32615
https://notcve.org/view.php?id=CVE-2021-32615
Piwigo 11.4.0 allows admin/user_list_backend.php order[0][dir] SQL Injection. Piwigo versión 11.4.0 permite la inyección SQL en admin/user_list_backend.php order[0][dir]. • https://github.com/Piwigo/Piwigo/commit/2ce1e5952238eba0fe5c5d6537ebdc76cb970b52 https://github.com/Piwigo/Piwigo/issues/1410 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-31783
https://notcve.org/view.php?id=CVE-2021-31783
show_default.php in the LocalFilesEditor extension before 11.4.0.1 for Piwigo allows Local File Inclusion because the file parameter is not validated with a proper regular-expression check. En el archivo show_default.php en la extensión LocalFilesEditor versiones anteriores a 11.4.0.1 para Piwigo, permite una inclusión de archivos locales porque el parámetro file no es validado con una comprobación apropiada de expresión regular • https://github.com/Piwigo/LocalFilesEditor/commit/dda691d3e45bfd166ac175c70bd8b91cb4917b6b https://github.com/Piwigo/LocalFilesEditor/issues/2 https://piwigo.org/ext/index.php?cid=null • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 3CVE-2021-27973 – Piwigo 11.3.0 - 'language' SQL
https://notcve.org/view.php?id=CVE-2021-27973
SQL injection exists in Piwigo before 11.4.0 via the language parameter to admin.php?page=languages. Una inyección SQL se presenta en Piwigo versiones anteriores a 11.4.0, por medio del parámetro language en admin.php?page=languages. Piwigo version 11.3.0 suffers from a remote SQL injection vulnerability. • https://www.exploit-db.com/exploits/49818 http://packetstormsecurity.com/files/162404/Piwigo-11.3.0-SQL-Injection.html https://github.com/Piwigo/Piwigo/issues/1352 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8941
https://notcve.org/view.php?id=CVE-2014-8941
Lexiglot through 2014-11-20 allows SQL injection via an admin.php?page=users&from_id= or admin.php?page=history&limit= URI. Lexiglot hasta el 20-11-2014, permite una inyección SQL por medio del URI admin.php?page=users&from_id= o admin.php? • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8942
https://notcve.org/view.php?id=CVE-2014-8942
Lexiglot through 2014-11-20 allows CSRF. Lexiglot hasta el 20-11-2014, permite un ataque de tipo CSRF. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-352: Cross-Site Request Forgery (CSRF) •