CVSS: 4.3EPSS: 0%CPEs: 57EXPL: 0CVE-2011-1948 – plone: A reflected cross site scripting vulnerability
https://notcve.org/view.php?id=CVE-2011-1948
06 Jun 2011 — Cross-site scripting (XSS) vulnerability in Plone 4.1 and earlier allows remote attackers to inject arbitrary web script or HTML via a crafted URL. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Plone v4.1 y anteriores , permite a atacantes remotos inyectar secuencias de comandos web o HTML a través una URL manipulada. • http://osvdb.org/72727 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 44EXPL: 0CVE-2011-1949
https://notcve.org/view.php?id=CVE-2011-1949
06 Jun 2011 — Cross-site scripting (XSS) vulnerability in the safe_html filter in Products.PortalTransforms in Plone 2.1 through 4.1 allows remote authenticated users to inject arbitrary web script or HTML via unspecified vectors, a different vulnerability than CVE-2010-2422. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Filtro safe_html en Products.PortalTransforms de Plone v2.1 hasta v4.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no ... • http://osvdb.org/72728 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 1%CPEs: 34EXPL: 0CVE-2011-0720 – plone: unauthorized remote administrative access
https://notcve.org/view.php?id=CVE-2011-0720
03 Feb 2011 — Unspecified vulnerability in Plone 2.5 through 4.0, as used in Conga, luci, and possibly other products, allows remote attackers to obtain administrative access, read or create arbitrary content, and change the site skin via unknown vectors. Una vulnerabilidad no especificada en Plone versión 2.5 hasta 4.0, como se utiliza en Conga, luci, y posiblemente otros productos, permite a los atacantes remotos obtener acceso administrativo, leer o crear contenido arbitrario, y cambiar el aspecto del sitio por medio ... • http://osvdb.org/70753 • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 36EXPL: 0CVE-2010-2422
https://notcve.org/view.php?id=CVE-2010-2422
23 Jun 2010 — Cross-site scripting (XSS) vulnerability in PortalTransforms in Plone 2.1 through 3.3.4 before hotfix 20100612 allows remote attackers to inject arbitrary web script or HTML via the safe_html transform. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en PortalTransforms en Plone v2.1 hasta v3.3.4 anterior hotfix 20100612 permite a atacantes remotos inyectar código web o HTML de su elección a través de safe_html transform. • http://plone.org/products/plone/security/advisories/cve-2010-unassigned-html-injection-in-safe_html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 11EXPL: 1CVE-2008-4571
https://notcve.org/view.php?id=CVE-2008-4571
15 Oct 2008 — Cross-site scripting (XSS) vulnerability in the LiveSearch module in Plone before 3.0.4 allows remote attackers to inject arbitrary web script or HTML via the Description field for search results, as demonstrated using the onerror Javascript even in an IMG tag. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo LiveSearch de Plone antes de 3.0.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML mediante el campo Description para resultados de búsqueda, como s... • http://dev.plone.org/plone/ticket/7439 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 3%CPEs: 8EXPL: 0CVE-2007-5741
https://notcve.org/view.php?id=CVE-2007-5741
07 Nov 2007 — Plone 2.5 through 2.5.4 and 3.0 through 3.0.2 allows remote attackers to execute arbitrary Python code via network data containing pickled objects for the (1) statusmessages or (2) linkintegrity module, which the module unpickles and executes. Plone 2.5 hasta 2.5.4 y 3.0 hasta 3.0.2 permite a atacantes remotos ejecutar código Python de su elección mediante información de red que contiene objetos "serializados" (pickled) para los módulos (1) statusmessages o (2) linkintegrity, los cuales son "deserializados"... • http://osvdb.org/42071 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2006-4249
https://notcve.org/view.php?id=CVE-2006-4249
07 Dec 2006 — Unspecified vulnerability in PlonePAS in Plone 2.5 and 2.5.1, when anonymous member registration is enabled, allows an attacker to "masquerade as a group." Vulnerabilidad no especificada en PlonePAS en Plone 2.5 y 2.5.1, cuando está habilitado el registro de miembros anónimos, permite a un atacante "hacerse pasar por un grupo". • http://plone.org/about/security/advisories/cve-2006-4249 •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2006-4247
https://notcve.org/view.php?id=CVE-2006-4247
29 Sep 2006 — Unspecified vulnerability in the Password Reset Tool before 0.4.1 on Plone 2.5 and 2.5.1 Release Candidate allows attackers to reset the passwords of other users, related to "an erroneous security declaration." Vulnerabilidad no especificada en el Password Reset Tool anterior a 0.4.1 sobre Plone 2.5 y 2.5.1 Release Candidate, permite a un atacante remoto reiniciar las contraseñas de otros usuarios, relacionado con "una declaración erronea de seguridad". • http://plone.org/about/security/advisories/cve-2006-4247 •
CVSS: 7.5EPSS: 11%CPEs: 3EXPL: 1CVE-2006-1711 – Plone 2.x - MembershipTool Access Control Bypass
https://notcve.org/view.php?id=CVE-2006-1711
11 Apr 2006 — Plone 2.0.5, 2.1.2, and 2.5-beta1 does not restrict access to the (1) changeMemberPortrait, (2) deletePersonalPortrait, and (3) testCurrentPassword methods, which allows remote attackers to modify portraits. • https://www.exploit-db.com/exploits/27630 •