CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2025-29992
https://notcve.org/view.php?id=CVE-2025-29992
26 Aug 2025 — Mahara before 24.04.9 exposes database connection information if the database becomes unreachable, e.g., due to the database server being temporarily down or too busy. Mahara anterior al 24.04.9 expone información de conexión de la base de datos si la base de datos se vuelve inaccesible, por ejemplo, debido a que el servidor de la base de datos está temporalmente inactivo o demasiado ocupado. • https://mahara.org/THE-FINAL-URL-IN-QUESTION • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2024-39335
https://notcve.org/view.php?id=CVE-2024-39335
26 Aug 2025 — Supported versions of Mahara 24.04 before 24.04.1 and 23.04 before 23.04.6 are vulnerable to information being disclosed to an institution administrator under certain conditions via the 'Current submissions' page: Administration -> Groups -> Submissions. Las versiones compatibles de Mahara 24.04 anteriores a 24.04.1 y 23.04 anteriores a 23.04.6 son vulnerables a que se divulgue información a un administrador de la institución bajo ciertas condiciones a través de la página "Envíos actuales": Administración -... • https://mahara.org/interaction/forum/topic.php?id=9519 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2024-35203
https://notcve.org/view.php?id=CVE-2024-35203
26 Aug 2025 — Mahara before 22.10.6, 23.04.6, and 24.04.1 allows cross-site scripting (XSS) via a file, with JavaScript code as part of its name, that is uploaded via the Mahara filebrowser system. Mahara anterior a 22.10.6, 23.04.6 y 24.04.1 permite cross-site scripting (XSS) a través de un archivo, con código JavaScript como parte de su nombre, que se carga mediante el sistema de exploración de archivos de Mahara. • https://git.mahara.org/catalyst-security/mahara-security/-/merge_requests/6 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.4EPSS: 0%CPEs: 2EXPL: 0CVE-2024-45753
https://notcve.org/view.php?id=CVE-2024-45753
26 Aug 2025 — In Mahara 23.04.8 and 24.04.4, the external RSS feed block can cause XSS if the external feed XML has a malicious value for the link attribute. En Mahara 23.04.8 y 24.04.4, el bloqueo de la fuente RSS externa puede provocar XSS si el XML de la fuente externa tiene un valor malicioso para el atributo de enlace. • https://mahara.org • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2024-47192
https://notcve.org/view.php?id=CVE-2024-47192
26 Aug 2025 — An issue was discovered in Mahara 23.04.8 and 24.04.4. The use of a malicious export download URL can allow an attacker to download files that they do not have permission to download. Se detectó un problema en Mahara 23.04.8 y 24.04.4. El uso de una URL de descarga de exportación maliciosa puede permitir que un atacante descargue archivos para los que no tiene permiso. • https://mahara.org/interaction/forum/topic.php?id=9594 • CWE-494: Download of Code Without Integrity Check •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2024-47853
https://notcve.org/view.php?id=CVE-2024-47853
26 Aug 2025 — An issue was discovered in Mahara 23.04.8 and 24.04.4. Attackers may utilize escalation of privileges in certain cases when logging into Mahara with Learning Tools Interoperability (LTI). Se detectó un problema en Mahara 23.04.8 y 24.04.4. Los atacantes podrían usar la escalada de privilegios en ciertos casos al iniciar sesión en Mahara con Learning Tools Interoperability (LTI). • https://mahara.org/interaction/forum/topic.php?id=9594 • CWE-269: Improper Privilege Management •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-47799
https://notcve.org/view.php?id=CVE-2023-47799
25 Aug 2025 — Mahara before 22.10.4 and 23.x before 23.04.4 allows information disclosure if the experimental HTML bulk export is used via the administration interface or via the CLI, and the resulting export files are given to the account holders. They may contain images of other account holders because the cache is not cleared after the files of one account are exported. Mahara, versiones anteriores a la 22.10.4 y 23.x, versiones anteriores a la 23.04.4, permite la divulgación de información si se utiliza la exportació... • https://git.mahara.org/catalyst-security/mahara-security/-/issues/2 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.4EPSS: 0%CPEs: 2EXPL: 0CVE-2024-39923
https://notcve.org/view.php?id=CVE-2024-39923
25 Aug 2025 — An issue was discovered in Mahara 24.04 before 24.04.2 and 23.04 before 23.04.7. The About, Contact, and Help footer links can be set up to be vulnerable to Cross Site Scripting (XSS) due to not sanitising the values. These links can only be set up by an admin but are clickable by any logged-in person. Se detectó un problema en Mahara 24.04 (antes de la versión 24.04.2) y 23.04 (antes de la versión 23.04.7). Los enlaces de pie de página "About", "Contact" y "Help" pueden configurarse para ser vulnerables a ... • https://mahara.org/interaction/forum/topic.php?id=9546 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-45133
https://notcve.org/view.php?id=CVE-2022-45133
22 Aug 2025 — Mahara 21.10 before 21.10.6, 22.04 before 22.04.4, and 22.10 before 22.10.1 allows unsafe font upload for skins. A particularly structured XML file could allow one to traverse the server to obtain access to secure files or cause code execution based on the payload. Mahara 21.10 (anterior a 21.10.6), 22.04 (anterior a 22.04.4) y 22.10 (anterior a 22.10.1) permiten la carga de fuentes no seguras para máscaras. Un archivo XML especialmente estructurado podría permitir el acceso al servidor a archivos seguros o... • https://bugs.launchpad.net/mahara/+bug/1995819 • CWE-26: Path Traversal: '/dir/../filename' •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-45134
https://notcve.org/view.php?id=CVE-2022-45134
22 Aug 2025 — Mahara 21.10 before 21.10.6, 22.04 before 22.04.4, and 22.10 before 22.10.1 deserializes user input unsafely during skin import. A particularly structured XML file could cause code execution when being processed. Mahara 21.10 (anterior a 21.10.6), 22.04 (anterior a 22.04.4) y 22.10 (anterior a 22.10.1) deserializa la entrada del usuario de forma insegura durante la importación de la apariencia. Un archivo XML con una estructura particular podría provocar la ejecución de código durante su procesamiento. • https://bugs.launchpad.net/mahara/+bug/1993082 • CWE-502: Deserialization of Untrusted Data •