CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10105
https://notcve.org/view.php?id=CVE-2016-10105
admin/plugin.php in Piwigo through 2.8.3 doesn't validate the sections variable while using it to include files. This can cause information disclosure and code execution if it contains a .. sequence. admin/plugin.php en Piwigo hasta la versión 2.8.3 no valida el variable de secciones al usarlo para incluir archivos. Esto puede provocar la divulgación de información y la ejecución de código si contiene una secuencia .. . • http://www.securityfocus.com/bid/95202 https://github.com/Piwigo/Piwigo/commit/8796e43aa344681d92a92e1f9b985409d4f36e31 https://github.com/Piwigo/Piwigo/commit/9004fdfc0b4a11cb32e9e15a5f67e4ec827e82dc https://github.com/Piwigo/Piwigo/issues/574#issuecomment-267938358 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-284: Improper Access Control •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10083
https://notcve.org/view.php?id=CVE-2016-10083
Cross-site scripting (XSS) vulnerability in admin/plugin.php in Piwigo through 2.8.3 allows remote attackers to inject arbitrary web script or HTML via a crafted filename that is mishandled in a certain error case. Vulnerabilidad de XSS en admin/plugin.php en Piwigo hasta la versión 2.8.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de archivo manipulado que se maneja de manera incorrecta en un cierto caso de error. • http://www.securityfocus.com/bid/95166 https://github.com/Piwigo/Piwigo/commit/7df3830c81716b959a2d0d3a0d8216b860ae0dc7 https://github.com/Piwigo/Piwigo/issues/575 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10084
https://notcve.org/view.php?id=CVE-2016-10084
admin/batch_manager.php in Piwigo through 2.8.3 allows remote authenticated administrators to conduct File Inclusion attacks via the $page['tab'] variable (aka the mode parameter). admin/batch_manager.php en Piwigo hasta la versión 2.8.3 permite a administradores remotos autenticados llevar a cabo ataques File Inclusion a través de la variable $page['tab'] (también conocido como el parámetro mode). • http://www.securityfocus.com/bid/95164 https://github.com/Piwigo/Piwigo/commit/9dd92959f6975099e0c62163a846a4648a6a920f https://github.com/Piwigo/Piwigo/issues/572#issuecomment-268252202 • CWE-284: Improper Access Control •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10085
https://notcve.org/view.php?id=CVE-2016-10085
admin/languages.php in Piwigo through 2.8.3 allows remote authenticated administrators to conduct File Inclusion attacks via the tab parameter. admin/languages.php en Piwigo hasta la versión 2.8.3 permite a administradores remotos autenticados llevar a cabo ataques File Inclusion a través del parámetro tab. • http://www.securityfocus.com/bid/95167 https://github.com/Piwigo/Piwigo/commit/4b33a0fd199fd445b15a49927ea6a9a153e3877d https://github.com/Piwigo/Piwigo/issues/573#issuecomment-267974558 • CWE-284: Improper Access Control •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2016-9751
https://notcve.org/view.php?id=CVE-2016-9751
Cross-site scripting (XSS) vulnerability in the search results front end in Piwigo 2.8.3 allows remote attackers to inject arbitrary web script or HTML via the search parameter. Vulnerabilidad de XSS en los resultados de búsqueda front end en Piwigo 2.8.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro de búsqueda. • http://www.securityfocus.com/bid/94637 https://github.com/Piwigo/Piwigo/issues/559 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •