CVSS: 9.8EPSS: 0%CPEs: 24EXPL: 1CVE-2017-1000153
https://notcve.org/view.php?id=CVE-2017-1000153
Mahara 15.04 before 15.04.10 and 15.10 before 15.10.6 and 16.04 before 16.04.4 are vulnerable to incorrect access control after the password reset link is sent via email and then user changes default email, Mahara fails to invalidate old link.Consequently the link in email can be used to gain access to the user's account. Mahara, en versiones 15.04 anteriores a la 15.04.10, versiones 15.10 anteriores a la 15.10.6 y versiones 16.04 anteriores a la 16.04.4, es vulnerable a un control de acceso incorrecto debido a que, después de que se envíe el enlace de restauración de contraseña por correo y el usuario modifique su correo por defecto, Mahara no invalida correctamente el enlace antiguo. Como consecuencia, el enlace del correo se puede utilizar para conseguir acceso a la cuenta del usuario. • https://bugs.launchpad.net/mahara/+bug/1577251 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 1CVE-2017-1000137
https://notcve.org/view.php?id=CVE-2017-1000137
Mahara 1.10 before 1.10.0 and 15.04 before 15.04.0 are vulnerable to possible cross site scripting when adding a text block to a page via the keyboard (rather than drag and drop). Mahara, en versiones 1.10 anteriores a la 1.10.0 y versiones 15.04 anteriores a la 15.04.0, es vulnerable a un posible Cross-Site Scripting (XSS) cuando se añade un bloque de texto a una página utilizando el teclado (en lugar de arrastrando y soltando). • https://bugs.launchpad.net/mahara/+bug/1375092 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 17EXPL: 1CVE-2017-1000136
https://notcve.org/view.php?id=CVE-2017-1000136
Mahara 1.8 before 1.8.6 and 1.9 before 1.9.4 and 1.10 before 1.10.1 and 15.04 before 15.04.0 are vulnerable to old sessions not being invalidated after a password change. Mahara, en versiones 1.8 anteriores a la 1.8.6, versiones 1.9 anteriores a la 1.9.4, versiones 1.10 anteriores a la 1.10.1 y versiones 15.04 anteriores a la 15.04.0, es vulnerable a que no se invaliden las sesiones antiguas después de un cambio de contraseña. • https://bugs.launchpad.net/mahara/+bug/1363873 • CWE-613: Insufficient Session Expiration •
CVSS: 6.8EPSS: 0%CPEs: 21EXPL: 1CVE-2017-1000147
https://notcve.org/view.php?id=CVE-2017-1000147
Mahara 1.9 before 1.9.8 and 1.10 before 1.10.6 and 15.04 before 15.04.3 are vulnerable to perform a cross-site request forgery (CSRF) attack on the uploader contained in Mahara's filebrowser widget. This could allow an attacker to trick a Mahara user into unknowingly uploading malicious files into their Mahara account. Mahara, en versiones 1.9 anteriores a la 1.9.8, versiones 1.10 anteriores a la 1.10.6 y versiones 15.04 anteriores a la 15.04.3, es vulnerable a que se realicen ataques Cross-Site Request Forgery (CSRF) en la herramienta de subida incluida en el widget de búsqueda de archivos de Mahara. Esto podría permitir que un atacante engañe a un usuario de Mahara para que suba archivos maliciosos a su cuenta de Mahara sin saberlo. • https://bugs.launchpad.net/mahara/+bug/1480329 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 21EXPL: 1CVE-2017-1000140
https://notcve.org/view.php?id=CVE-2017-1000140
Mahara 1.8 before 1.8.7 and 1.9 before 1.9.5 and 1.10 before 1.10.3 and 15.04 before 15.04.0 are vulnerable to a maliciously created .xml file that can have its code executed when user tries to download the file. Mahara, en versiones 1.8 anteriores a la 1.8.7, versiones 1.9 anteriores a la 1.9.5, versiones 1.10 anteriores a la 1.10.3 y versiones 15.04 anteriores a la 15.04.0, es vulnerable a que un archivo .xml creado con fines maliciosos ejecute su código cuando un usuario intenta descargar el archivo. • https://bugs.launchpad.net/mahara/+bug/1404117 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •