B2evolution

B2evolution

24 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
9.1

CVE-2022-30935

  • EPSS 1.51%
  • Veröffentlicht 28.09.2022 11:15:09
  • Zuletzt bearbeitet 21.05.2025 14:15:24

An authorization bypass in b2evolution allows remote, unauthenticated attackers to predict password reset tokens for any user through the use of a bad randomness function. This allows the attacker to get valid sessions for arbitrary users, and option...

8.8

CVE-2021-28242

Exploit
  • EPSS 0.48%
  • Veröffentlicht 15.04.2021 14:15:16
  • Zuletzt bearbeitet 21.11.2024 05:59:23

SQL Injection in the "evoadm.php" component of b2evolution v7.2.2-stable allows remote attackers to obtain sensitive database information by injecting SQL commands into the "cf_name" parameter when creating a new filter under the "Collections" tab.

4.8

CVE-2020-22841

Exploit
  • EPSS 0.45%
  • Veröffentlicht 09.02.2021 14:15:14
  • Zuletzt bearbeitet 21.11.2024 05:13:26

Stored XSS in b2evolution CMS version 6.11.6 and prior allows an attacker to perform malicious JavaScript code execution via the plugin name input field in the plugin module.

6.1

CVE-2020-22840

Exploit
  • EPSS 29.27%
  • Veröffentlicht 09.02.2021 14:15:14
  • Zuletzt bearbeitet 21.11.2024 05:13:26

Open redirect vulnerability in b2evolution CMS version prior to 6.11.6 allows an attacker to perform malicious open redirects to an attacker controlled resource via redirect_to parameter in email_passthrough.php.

9.8

CVE-2016-8901

Exploit
  • EPSS 0.63%
  • Veröffentlicht 23.05.2019 18:29:00
  • Zuletzt bearbeitet 21.11.2024 03:00:15

b2evolution 6.7.6 suffer from an Object Injection vulnerability in /htsrv/call_plugin.php.

9.8

CVE-2017-1000423

  • EPSS 1.7%
  • Veröffentlicht 02.01.2018 20:29:00
  • Zuletzt bearbeitet 21.11.2024 03:04:42

b2evolution version 6.6.0 - 6.8.10 is vulnerable to input validation (backslash and single quote escape) in basic install functionality resulting in unauthenticated attacker gaining PHP code execution on the victim's setup.

5.4

CVE-2017-5553

  • EPSS 0.22%
  • Veröffentlicht 23.01.2017 07:59:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

Cross-site scripting (XSS) vulnerability in plugins/markdown_plugin/_markdown.plugin.php in b2evolution before 6.8.5 allows remote authenticated users to inject arbitrary web script or HTML via a javascript: URL.

9.1

CVE-2017-5539

  • EPSS 7.45%
  • Veröffentlicht 23.01.2017 07:59:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

The patch for directory traversal (CVE-2017-5480) in b2evolution version 6.8.4-stable has a bypass vulnerability. An attacker can use ..\/ to bypass the filter rule. Then, this attacker can exploit this vulnerability to delete or read any files on th...

5.4

CVE-2016-7150

  • EPSS 0.39%
  • Veröffentlicht 18.01.2017 17:59:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

Cross-site scripting (XSS) vulnerability in b2evolution 6.7.5 and earlier allows remote authenticated users to inject arbitrary web script or HTML via the site name.

6.1

CVE-2016-7149

  • EPSS 0.61%
  • Veröffentlicht 18.01.2017 17:59:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

Cross-site scripting (XSS) vulnerability in b2evolution 6.7.5 and earlier allows remote attackers to inject arbitrary web script or HTML via vectors related to the autolink function.