B2evolution

B2evolution

25 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
6.1

CVE-2016-7149

  • EPSS 1.24%
  • Veröffentlicht 18.01.2017 17:59:00
  • Zuletzt bearbeitet 13.05.2026 00:24:29

Cross-site scripting (XSS) vulnerability in b2evolution 6.7.5 and earlier allows remote attackers to inject arbitrary web script or HTML via vectors related to the autolink function.

8.1

CVE-2017-5480

  • EPSS 2.44%
  • Veröffentlicht 15.01.2017 22:59:00
  • Zuletzt bearbeitet 13.05.2026 00:24:29

Directory traversal vulnerability in inc/files/files.ctrl.php in b2evolution through 6.8.3 allows remote authenticated users to read or delete arbitrary files by leveraging back-office access to provide a .. (dot dot) in the fm_selected array paramet...

5.4

CVE-2017-5494

  • EPSS 1.17%
  • Veröffentlicht 15.01.2017 22:59:00
  • Zuletzt bearbeitet 13.05.2026 00:24:29

Multiple cross-site scripting (XSS) vulnerabilities in the file types table in b2evolution through 6.8.3 allow remote authenticated users to inject arbitrary web script or HTML via a .swf file in a (1) comment frame or (2) avatar frame.

7.5

CVE-2016-9479

  • EPSS 1.84%
  • Veröffentlicht 02.12.2016 16:59:00
  • Zuletzt bearbeitet 06.05.2026 22:30:45

The "lost password" functionality in b2evolution before 6.7.9 allows remote attackers to reset arbitrary user passwords via a crafted request.

4.3

CVE-2014-9599

Exploit
  • EPSS 2.21%
  • Veröffentlicht 16.01.2015 15:59:00
  • Zuletzt bearbeitet 06.05.2026 22:30:45

Cross-site scripting (XSS) vulnerability in the filemanager in b2evolution before 5.2.1 allows remote attackers to inject arbitrary web script or HTML via the fm_filter parameter to blogs/admin.php.

6.8

CVE-2013-7352

Exploit
  • EPSS 0.63%
  • Veröffentlicht 02.04.2014 18:55:21
  • Zuletzt bearbeitet 06.05.2026 22:30:45

Cross-site request forgery (CSRF) vulnerability in blogs/admin.php in b2evolution before 4.1.7 allows remote attackers to hijack the authentication of administrators for requests that conduct SQL injection attacks via the show_statuses[] parameter, r...

6.5

CVE-2013-2945

Exploit
  • EPSS 2.75%
  • Veröffentlicht 02.04.2014 16:17:06
  • Zuletzt bearbeitet 06.05.2026 22:30:45

SQL injection vulnerability in blogs/admin.php in b2evolution before 4.1.7 allows remote authenticated administrators to execute arbitrary SQL commands via the show_statuses[] parameter. NOTE: this can be leveraged using CSRF to allow remote unauthe...

4.3

CVE-2012-5911

Exploit
  • EPSS 1.33%
  • Veröffentlicht 17.11.2012 21:55:05
  • Zuletzt bearbeitet 16.06.2026 23:47:34

Cross-site scripting (XSS) vulnerability in blogs/blog1.php in b2evolution 4.1.3 allows remote attackers to inject arbitrary web script or HTML via the message body.

6.5

CVE-2012-5910

  • EPSS 1.15%
  • Veröffentlicht 17.11.2012 21:55:05
  • Zuletzt bearbeitet 16.06.2026 23:47:34

SQL injection vulnerability in blogs/htsrv/viewfile.php in b2evolution 4.1.3 allows remote authenticated users to execute arbitrary SQL commands via the root parameter.

5

CVE-2011-3709

Exploit
  • EPSS 1.34%
  • Veröffentlicht 23.09.2011 23:55:02
  • Zuletzt bearbeitet 16.06.2026 23:33:47

b2evolution 3.3.3 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by locales/ru_RU/ru-RU.locale.php and certain other files.