CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-27885 – e107 CMS 2.3.0 - CSRF
https://notcve.org/view.php?id=CVE-2021-27885
02 Mar 2021 — usersettings.php in e107 through 2.3.0 lacks a certain e_TOKEN protection mechanism. El archivo usersettings.php en e107 hasta la versión 2.3.0, carece de cierto mecanismo de protección e_TOKEN e107 CMS version 2.3.0 suffers from a cross site request forgery vulnerability. • https://packetstorm.news/files/id/161651 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 4CVE-2014-4734 – e107 2.0 alpha2 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2014-4734
16 Jul 2014 — Cross-site scripting (XSS) vulnerability in e107_admin/db.php in e107 2.0 alpha2 and earlier allows remote attackers to inject arbitrary web script or HTML via the type parameter. Vulnerabilidad de XSS en e107_admin/db.php en e107 2.0 alpha2 y anteriores permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro type. e107 version 2.0 alpha2 suffers from a reflective cross site scripting vulnerability. • https://packetstorm.news/files/id/127499 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 27EXPL: 1CVE-2013-2750 – e107 - 'content_preset.php' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2013-2750
22 Jan 2014 — Cross-site scripting (XSS) vulnerability in e107_plugins/content/handlers/content_preset.php in e107 before 1.0.3 allows remote attackers to inject arbitrary web script or HTML via the query string. Vulnerabilidad de XSS en e107_plugins/content/handlers/content_preset.php de e107 anterior a la versión 1.0.3 permite a atacantes remotos inyectar script Web o HTML arbitrario a través de una cadena de consulta. • https://www.exploit-db.com/exploits/38416 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 29EXPL: 0CVE-2013-7305
https://notcve.org/view.php?id=CVE-2013-7305
22 Jan 2014 — fpw.php in e107 through 1.0.4 does not check the user_ban field, which makes it easier for remote attackers to reset passwords by sending a pwsubmit request and leveraging access to the e-mail account of a banned user. fpw.php en e107 hasta la versión 1.0.4 no comprueba el campo user_ban, lo que hace más fácil para atacantes remotos restablecer contraseñas mediante el envío de una petición pwsubmit y aprovechando el acceso a la cuenta de email de un usuario baneado. • http://sourceforge.net/p/e107/svn/13114 • CWE-255: Credentials Management Errors •
CVSS: 8.8EPSS: 0%CPEs: 65EXPL: 0CVE-2010-5084
https://notcve.org/view.php?id=CVE-2010-5084
14 Feb 2012 — The cross-site request forgery (CSRF) protection mechanism in e107 before 0.7.23 uses a predictable random token based on the creation date of the administrator account, which allows remote attackers to hijack the authentication of administrators for requests that add new users via e107_admin/users.php. El mecanismo de protección de falsificación de petición en sitios cruzados (CSRF) en e107 antes de v0.7.23, utiliza una muestra aleatoria predecible basada en la fecha de creación de la cuenta de administrad... • http://e107.org/comment.php?comment.news.872 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 1%CPEs: 59EXPL: 3CVE-2011-1513 – e107 0.7.24 - 'cmd' Remote Command Execution
https://notcve.org/view.php?id=CVE-2011-1513
04 Nov 2011 — Static code injection vulnerability in install_.php in e107 CMS 0.7.24 and probably earlier versions, when the installation script is not removed, allows remote attackers to inject arbitrary PHP code into e107_config.php via a crafted MySQL server name. Vulnerabilidad de inyección de código estático en install_.php en e107 CMS v0.7.24 y probablemente también en versiones anteriores, cuando el script de instalación no se elimina, permite a atacantes remotos inyectar código PHP de su elección en e107_config.p... • https://www.exploit-db.com/exploits/36252 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.1EPSS: 0%CPEs: 65EXPL: 0CVE-2011-0457
https://notcve.org/view.php?id=CVE-2011-0457
15 Mar 2011 — Cross-site scripting (XSS) vulnerability in e107 0.7.22 and earlier allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en e107 0.7.22 y versiones anteriores permite a atacantes remotos inyectar codigo de script web o código HTML de su elección a través de vectores sin especificar. • http://e107.org/comment.php?comment.news.872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 65EXPL: 1CVE-2010-4757
https://notcve.org/view.php?id=CVE-2010-4757
15 Mar 2011 — Cross-site scripting (XSS) vulnerability in submitnews.php in e107 before 0.7.23 allows remote attackers to inject arbitrary web script or HTML via the submitnews_title parameter, a different vector than CVE-2008-6208. NOTE: some of these details are obtained from third party information. NOTE: this might be the same as CVE-2009-4083.1 or CVE-2011-0457. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en submitnews.php de e107 en versiones anteriores a la 0.7.23 permite a atacantes remotos ... • http://e107.org/comment.php?comment.news.872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 63EXPL: 0CVE-2010-2098
https://notcve.org/view.php?id=CVE-2010-2098
27 May 2010 — Incomplete blacklist vulnerability in usersettings.php in e107 0.7.20 and earlier allows remote attackers to conduct SQL injection attacks via the loginname parameter. Vulnerabilidad de lista negra incompleta en usersettings.php en e107 v0.7.20 y anteriores permite a atacantes remotos realizar ataques de inyección SQL a través del parámetro loginname. • http://e107.svn.sourceforge.net/viewvc/e107/trunk/e107_0.7/usersettings.php?r1=11521&r2=11538 •
CVSS: 9.8EPSS: 0%CPEs: 63EXPL: 3CVE-2010-2099 – e107 - Code Exection
https://notcve.org/view.php?id=CVE-2010-2099
27 May 2010 — bbcode/php.bb in e107 0.7.20 and earlier does not perform access control checks for all inputs that could contain the php bbcode tag, which allows remote attackers to execute arbitrary PHP code, as demonstrated using the toEmail method in contact.php, related to invocations of the toHTML method. bbcode/php.bb en e107 v0.7.20 y anteriores, no realiza una validación del control de acceso para las entradas que podrían contener la etiqueta php "bbcode", lo que permite a atacantes remotos ejecutar código PHP de ... • https://www.exploit-db.com/exploits/12715 • CWE-264: Permissions, Privileges, and Access Controls •