CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 2CVE-2023-43873
https://notcve.org/view.php?id=CVE-2023-43873
28 Sep 2023 — A Cross Site Scripting (XSS) vulnerability in e017 CMS v.2.3.2 allows a local attacker to execute arbitrary code via a crafted script to the Name filed in the Manage Menu. Vulnerabilidad de Cross Site Scripting (XSS) en e017 CMS v.2.3.2 permite a un atacante local ejecutar código arbitrario a través de un script manipulado para el Nombre archivado en el Menú Administrar. • https://github.com/sromanhu/CVE-2023-43873-e107-CMS-Stored-XSS---Manage • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 2CVE-2023-43874
https://notcve.org/view.php?id=CVE-2023-43874
28 Sep 2023 — Multiple Cross Site Scripting (XSS) vulnerability in e017 CMS v.2.3.2 allows a local attacker to execute arbitrary code via a crafted script to the Copyright and Author fields in the Meta & Custom Tags Menu. Vulnerabilidad de múltiples Cross Site Scripting (XSS) en e017 CMS v.2.3.2 permite a un atacante local ejecutar código arbitrario a través de un script manipulado a en los campos Copyright y Autor en el Menú Meta y Etiquetas Personalizadas. • https://github.com/sromanhu/CVE-2023-43874-e107-CMS-Stored-XSS---MetaCustomTags • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 3CVE-2023-36121
https://notcve.org/view.php?id=CVE-2023-36121
01 Aug 2023 — Cross Site Scripting vulnerability in e107 v.2.3.2 allows a remote attacker to execute arbitrary code via the description function in the SEO project. La vulnerabilidad Cross-Site Scripting en e107 v.2.3.2 permite a un atacante remoto ejecutar código arbitrario a través de la función de descripción en el proyecto SEO. • https://github.com/Trinity-SYT-SECURITY/XSS_vuln_issue/blob/main/e107%20v2.3.2.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-27885 – e107 CMS 2.3.0 - CSRF
https://notcve.org/view.php?id=CVE-2021-27885
02 Mar 2021 — usersettings.php in e107 through 2.3.0 lacks a certain e_TOKEN protection mechanism. El archivo usersettings.php en e107 hasta la versión 2.3.0, carece de cierto mecanismo de protección e_TOKEN e107 CMS version 2.3.0 suffers from a cross site request forgery vulnerability. • https://packetstorm.news/files/id/161651 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-11734
https://notcve.org/view.php?id=CVE-2018-11734
10 Jul 2019 — In e107 v2.1.7, output without filtering results in XSS. En e107 versión v2.1.7, una salida sin filtrar resulta en un problema de tipo XSS. • https://github.com/e107inc/e107/issues/3170 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-17423
https://notcve.org/view.php?id=CVE-2018-17423
19 Jun 2019 — An issue was discovered in e107 v2.1.9. There is a XSS attack on e107_admin/comment.php. Se detecto un problema en e107 v2.1.9. Existe un ataque XSS en e107_admin / comment.php. • https://github.com/Kiss-sh0t/e107_v2.1.9_XSS_poc • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2016-10753
https://notcve.org/view.php?id=CVE-2016-10753
24 May 2019 — e107 2.1.2 allows PHP Object Injection with resultant SQL injection, because usersettings.php uses unserialize without an HMAC. e107 versión 2.1.2, permite la inyección de objetos PHP teniendo como resultado la inyección SQL, porque el archivo usersettings.php usa deserialización sin un HMAC. • https://blog.ripstech.com/2016/e107-sql-injection-through-object-injection • CWE-502: Deserialization of Untrusted Data •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2018-17081
https://notcve.org/view.php?id=CVE-2018-17081
26 Sep 2018 — e107 2.1.9 allows CSRF via e107_admin/wmessage.php?mode=&action=inline&ajax_used=1&id= for changing the title of an arbitrary page. e107 2.1.9 permite Cross-Site Request Forgery (CSRF) mediante e107_admin/wmessage.php?mode=action=inlineajax_used=1id= para cambiar el título de una página arbitraria. • https://github.com/himanshurahi/e107_2.1.9_CSRF_POC • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16388
https://notcve.org/view.php?id=CVE-2018-16388
12 Sep 2018 — e107_web/js/plupload/upload.php in e107 2.1.8 allows remote attackers to execute arbitrary PHP code by uploading a .php filename with the image/jpeg content type. e107_web/js/plupload/upload.php en e107 2.1.8 permite que atacantes remotos ejecuten código PHP arbitrario mediante la subida de un nombre de archivo .php con el tipo de contenido image/jpeg. • https://gist.github.com/ommadawn46/5cb22e7c66cc32a5c7734a8064b4d3f5 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16389
https://notcve.org/view.php?id=CVE-2018-16389
12 Sep 2018 — e107_admin/banlist.php in e107 2.1.8 allows SQL injection via the old_ip parameter. e107_admin/banlist.php en e107 2.1.8 permite la inyección SQL mediante el parámetro old_ip • https://gist.github.com/ommadawn46/51e08e13e6980dcbcffb4322c29b93d0 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •