CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2022-29585
https://notcve.org/view.php?id=CVE-2022-29585
In Mahara before 20.10.5, 21.04.4, 21.10.2, and 22.04.0, a site using Isolated Institutions is vulnerable if more than ten groups are used. They are all shown from page 2 of the group results list (rather than only being shown for the institution that the viewer is a member of). En Mahara versiones anteriores a 20.10.5, 21.04.4, 21.10.2 y 22.04.0, un sitio usando Instituciones Aisladas es vulnerable si son usados más de diez grupos. Todos ellos son mostrados a partir de la página 2 de la lista de resultados de los grupos (en lugar de mostrarse sólo para la institución a la que pertenece el espectador) • https://bugs.launchpad.net/mahara/+bug/1922226 https://mahara.org/interaction/forum/topic.php?id=9093 • CWE-276: Incorrect Default Permissions •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2022-29584
https://notcve.org/view.php?id=CVE-2022-29584
Mahara before 20.10.5, 21.04.4, 21.10.2, and 22.04.0 allows stored XSS when a particular Cascading Style Sheets (CSS) class for embedly is used, and JavaScript code is constructed to perform an action. Mahara versiones anteriores a 20.10.5, 21.04.4, 21.10.2 y 22.04.0, permite un ataque de tipo XSS almacenado cuando es usado una clase particular de Hojas de Estilo en Cascada (CSS) para embedly y es construido código JavaScript para llevar a cabo una acción • https://bugs.launchpad.net/mahara/+bug/1968920 https://mahara.org/interaction/forum/topic.php?id=9095 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2022-28892
https://notcve.org/view.php?id=CVE-2022-28892
Mahara before 20.10.5, 21.04.4, 21.10.2, and 22.04.0 is vulnerable to Cross Site Request Forgery (CSRF) because randomly generated tokens are too easily guessable. Mahara versiones anteriores a 20.10.5, 21.04.4, 21.10.2 y 22.04.0 es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF) porque los tokens generados aleatoriamente son muy fáciles de adivinar • https://bugs.launchpad.net/mahara/+bug/1930171 https://mahara.org/interaction/forum/topic.php?id=9094 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-40849
https://notcve.org/view.php?id=CVE-2021-40849
In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, the account associated with a web services token is vulnerable to being exploited and logged into, resulting in information disclosure (at a minimum) and often escalation of privileges. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, la cuenta asociada a un token de servicios web es vulnerable a ser explotada y a iniciar sesión, resultando en una divulgación de información (como mínimo) y a menudo en una escalada de privilegios • https://bugs.launchpad.net/mahara/+bug/1930469 https://mahara.org/interaction/forum/topic.php?id=8949 • CWE-613: Insufficient Session Expiration •
CVSS: 7.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-40848
https://notcve.org/view.php?id=CVE-2021-40848
In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, exported CSV files could contain characters that a spreadsheet program could interpret as a command, leading to execution of a malicious string locally on a device, aka CSV injection. En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, los archivos CSV exportados podían contener caracteres que un programa de hoja de cálculo podía interpretar como un comando, conllevando a una ejecución de una cadena maliciosa localmente en un dispositivo, lo que se conoce como inyección CSV • https://bugs.launchpad.net/mahara/+bug/1930471 https://mahara.org/interaction/forum/topic.php?id=8950 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •