CVE-2014-8940
https://notcve.org/view.php?id=CVE-2014-8940
Lexiglot through 2014-11-20 allows remote attackers to obtain sensitive information (names and details of projects) by visiting the /update.log URI. Lexiglot hasta el 20-11-2014, permite a atacantes remotos obtener información confidencial (nombres y detalles de los proyectos) al visitar el URI /update.log. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2014-8945
https://notcve.org/view.php?id=CVE-2014-8945
admin.php?page=projects in Lexiglot through 2014-11-20 allows command injection via username and password fields. admin.php?page=projects en Lexiglot hasta el 20-11-2014, permite una inyección de comandos por medio de los campos username y password. • https://www.justanotherhacker.com/2018/05/jahx181_-_piwigo_lexiglot_multiple_vulnerabilities.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2020-9468
https://notcve.org/view.php?id=CVE-2020-9468
The Community plugin 2.9.e-beta for Piwigo allows users to set image information on images in albums for which they do not have permission, by manipulating the image_id parameter. El plugin Community versión 2.9.e-beta para Piwigo, permite a usuarios establecer información de imagen sobre imágenes en álbumes para los que no tienen permiso, al manipular el parámetro image_id. • https://github.com/plegall/Piwigo-community/issues/49 https://piwigo.org/ext/extension_view.php?eid=303 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2020-9467 – Piwigo 2.10.1 - Cross Site Scripting
https://notcve.org/view.php?id=CVE-2020-9467
Piwigo 2.10.1 has stored XSS via the file parameter in a /ws.php request because of the pwg.images.setInfo function. Piwigo versión 2.10.1, presenta una vulnerabilidad de tipo XSS almacenado, por medio del parámetro file en una petición del archivo /ws.php debido a la función pwg.images.setInfo. Piwigo version 2.10.1 suffers from a cross site scripting vulnerability. • https://www.exploit-db.com/exploits/48814 http://packetstormsecurity.com/files/159191/Piwigo-2.10.1-Cross-Site-Scripting.html https://github.com/Piwigo/Piwigo/issues/1168 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-8089
https://notcve.org/view.php?id=CVE-2020-8089
Piwigo 2.10.1 is affected by stored XSS via the Group Name Field to the group_list page. Piwigo versión 2.10.1, está afectado por una vulnerabilidad de tipo XSS almacenado por medio del Group Name Field en la página group_list. • https://github.com/Piwigo/Piwigo/issues/1150 https://piwigo.org/forum/viewforum.php?id=23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •