CVSS: 6.0EPSS: 0%CPEs: 3EXPL: 0CVE-2012-2902
https://notcve.org/view.php?id=CVE-2012-2902
Unrestricted file upload vulnerability in editor/extensions/browser/file.php in the Joomla Content Editor (JCE) component before 2.1 for Joomla!, when chunking is set to greater than zero, allows remote authors to execute arbitrary PHP code by uploading a PHP file with a double extension as demonstrated by .jpg.pht. Vulnerabilidad de subida de archivos sin restricción en editor/extensions/browser/file.php en el componente Joomla Content Editor (JCE) anteriores a v2.1 para Joomla!, cunado el valor «chunking» está fijado a un valor mayor que 0, permite a autores remotos ejecutar código de su elección subiendo un archivo con una doble extensión en su nombre, como se ha demostrado con el nombre de archivo .jpg.pht. • http://osvdb.org/81980 http://secunia.com/advisories/49206 http://secunia.com/secunia_research/2012-15 http://www.joomlacontenteditor.net/news/item/jce-21-released?category_id=32 http://www.securityfocus.com/bid/51002 https://exchange.xforce.ibmcloud.com/vulnerabilities/75671 •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2012-2901
https://notcve.org/view.php?id=CVE-2012-2901
Cross-site scripting (XSS) vulnerability in the Profile List in the Joomla Content Editor (JCE) component before 2.1 for Joomla! allows remote attackers to inject arbitrary web script or HTML via the search parameter to administrator/index.php. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en la lista de perfiles ("Profile List") del componente Joomla Content Editor (JCE) en versiones anteriores a la 2.1 de Joomla!. Permite a atacantes remotos inyectar codigo de script web o código HTML de su elección a través del parametro search de administrator/index.php. • http://secunia.com/advisories/49206 http://secunia.com/secunia_research/2012-14 http://www.joomlacontenteditor.net/news/item/jce-21-released?category_id=32 http://www.securityfocus.com/bid/53559 https://exchange.xforce.ibmcloud.com/vulnerabilities/75670 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •