CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-27885 – e107 CMS 2.3.0 - CSRF
https://notcve.org/view.php?id=CVE-2021-27885
02 Mar 2021 — usersettings.php in e107 through 2.3.0 lacks a certain e_TOKEN protection mechanism. El archivo usersettings.php en e107 hasta la versión 2.3.0, carece de cierto mecanismo de protección e_TOKEN e107 CMS version 2.3.0 suffers from a cross site request forgery vulnerability. • https://packetstorm.news/files/id/161651 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16388
https://notcve.org/view.php?id=CVE-2018-16388
12 Sep 2018 — e107_web/js/plupload/upload.php in e107 2.1.8 allows remote attackers to execute arbitrary PHP code by uploading a .php filename with the image/jpeg content type. e107_web/js/plupload/upload.php en e107 2.1.8 permite que atacantes remotos ejecuten código PHP arbitrario mediante la subida de un nombre de archivo .php con el tipo de contenido image/jpeg. • https://gist.github.com/ommadawn46/5cb22e7c66cc32a5c7734a8064b4d3f5 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16389
https://notcve.org/view.php?id=CVE-2018-16389
12 Sep 2018 — e107_admin/banlist.php in e107 2.1.8 allows SQL injection via the old_ip parameter. e107_admin/banlist.php en e107 2.1.8 permite la inyección SQL mediante el parámetro old_ip • https://gist.github.com/ommadawn46/51e08e13e6980dcbcffb4322c29b93d0 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16381
https://notcve.org/view.php?id=CVE-2018-16381
05 Sep 2018 — e107 2.1.8 has XSS via the e107_admin/users.php?mode=main&action=list user_loginname parameter. e107 2.1.8 tiene Cross-Site Scripting (XSS) mediante el parámetro user_loginname en e107_admin/users.php?mode=mainaction=list. • https://github.com/dhananjay-bajaj/E107-v2.1.8-XSS-POC • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-15901
https://notcve.org/view.php?id=CVE-2018-15901
28 Aug 2018 — e107 2.1.8 has CSRF in 'usersettings.php' with an impact of changing details such as passwords of users including administrators. e107 2.1.8 tiene Cross-Site Request Forgery (CSRF) en "usersettings.php" que afecta al cambio de detalles como las contraseñas de los usuarios, incluyendo a los administradores. • https://github.com/dhananjay-bajaj/e107_2.1.8_csrf • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 2%CPEs: 66EXPL: 0CVE-2010-0996
https://notcve.org/view.php?id=CVE-2010-0996
20 Apr 2010 — Unrestricted file upload vulnerability in e107 before 0.7.20 allows remote authenticated users to execute arbitrary code by uploading a .php.filetypesphp file. NOTE: the vendor disputes the significance of this issue, noting that "an odd set of preferences and a missing file" are required. Vulnerabilidad de subida de fichero sin restricciones en e107 en versiones anteriores a la v0.7.20. Permite a usuarios remotos autenticados ejecutar comandos de su elección subiendo un fichero .php.filetypesphp. NOTA: el ... • http://e107.org/comment.php?comment.news.864 •
CVSS: 9.8EPSS: 0%CPEs: 68EXPL: 1CVE-2009-1409 – e107 < 0.7.15 - 'extended_user_fields' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2009-1409
24 Apr 2009 — SQL injection vulnerability in usersettings.php in e107 0.7.15 and earlier, when "Extended User Fields" is enabled and magic_quotes_gpc is disabled, allows remote attackers to execute arbitrary SQL commands via the hide parameter, a different vector than CVE-2005-4224 and CVE-2008-5320. Una vulnerabilidad de inyección de SQL en usersettings.php en e107 v0.7.15 y anteriores, cuando la opción "Campos de usuario extendidos" está activado y magic_quotes_gpc está desactivado, permite a atacantes remotos ejecutar... • https://www.exploit-db.com/exploits/8495 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 56EXPL: 2CVE-2008-5320 – e107 < 0.7.13 - 'usersettings.php' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2008-5320
03 Dec 2008 — SQL injection vulnerability in usersettings.php in e107 0.7.13 and earlier allows remote authenticated users to execute arbitrary SQL commands via the ue[] parameter. Vulnerabilidad de inyección SQL en el archivo usersettings.php en e107 0.7.13 y versiones anteriores, permite a los usuarios remotos autentificados ejecutar arbitrariamente comandos SQL a través del parámetro ue[]. • https://www.exploit-db.com/exploits/6791 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 45EXPL: 0CVE-2006-0682
https://notcve.org/view.php?id=CVE-2006-0682
15 Feb 2006 — Multiple cross-site scripting (XSS) vulnerabilities in bbcodes system in e107 before 0.7.2 allow remote attackers to inject arbitrary web script or HTML via unknown attack vectors. • http://e107.org/comment.php?comment.news.776 •
CVSS: 6.1EPSS: 0%CPEs: 37EXPL: 2CVE-2005-2327 – e107 0.617 - Cross-Site Scripting Remote Cookie Disclosure
https://notcve.org/view.php?id=CVE-2005-2327
20 Jul 2005 — Cross-site scripting (XSS) vulnerability in e107 0.617 and earlier allows remote attackers to inject arbitrary web script or HTML via nested [url] BBCode tags. Vulnerabilidad de secuencia de comandos en sitios cruzados en e107 0.617 y anteriores permite que atacantes remotos inyecten script web arbitrario o HTML mediante tags anidadas " [URL]BBCode". • https://www.exploit-db.com/exploits/1106 •