Piwigo

Piwigo

99 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
5.4

CVE-2018-7724

Exploit
  • EPSS 0.1%
  • Veröffentlicht 06.03.2018 17:29:00
  • Zuletzt bearbeitet 21.11.2024 04:12:36

The management panel in Piwigo 2.9.3 has stored XSS via the name parameter in a /admin.php?page=photo-${photo_number} request. CSRF exploitation, related to CVE-2017-10681, may be possible.

5.4

CVE-2018-7723

Exploit
  • EPSS 0.21%
  • Veröffentlicht 06.03.2018 17:29:00
  • Zuletzt bearbeitet 21.11.2024 04:12:36

The management panel in Piwigo 2.9.3 has stored XSS via the virtual_name parameter in a /admin.php?page=cat_list request, a different issue than CVE-2017-9836. CSRF exploitation, related to CVE-2017-10681, may be possible.

5.4

CVE-2018-7722

Exploit
  • EPSS 0.21%
  • Veröffentlicht 06.03.2018 17:29:00
  • Zuletzt bearbeitet 21.11.2024 04:12:36

The management panel in Piwigo 2.9.3 has stored XSS via the name parameter in a /ws.php?format=json request. CSRF exploitation, related to CVE-2017-10681, may be possible.

4.9

CVE-2018-6883

  • EPSS 0.26%
  • Veröffentlicht 24.02.2018 16:29:00
  • Zuletzt bearbeitet 21.11.2024 04:11:21

Piwigo before 2.9.3 has SQL injection in admin/tags.php in the administration panel, via the tags array parameter in an admin.php?page=tags request. The attacker must be an administrator.

6.1

CVE-2018-5692

Exploit
  • EPSS 0.24%
  • Veröffentlicht 14.01.2018 04:29:00
  • Zuletzt bearbeitet 21.11.2024 04:09:10

Piwigo v2.8.2 has XSS via the `tab`, `to`, `section`, `mode`, `installstatus`, and `display` parameters of the `admin.php` file.

4.9

CVE-2017-17822

  • EPSS 0.3%
  • Veröffentlicht 21.12.2017 04:29:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

The List Users API of Piwigo 2.9.2 is vulnerable to SQL Injection via the /admin/user_list_backend.php sSortDir_0 parameter. An attacker can exploit this to gain access to the data in a connected MySQL database.

4.9

CVE-2017-17823

Exploit
  • EPSS 0.33%
  • Veröffentlicht 21.12.2017 04:29:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

The Configuration component of Piwigo 2.9.2 is vulnerable to SQL Injection via the admin/configuration.php order_by array parameter. An attacker can exploit this to gain access to the data in a connected MySQL database.

4.9

CVE-2017-17824

Exploit
  • EPSS 0.33%
  • Veröffentlicht 21.12.2017 04:29:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

The Batch Manager component of Piwigo 2.9.2 is vulnerable to SQL Injection via the admin/batch_manager_unit.php element_ids parameter in unit mode. An attacker can exploit this to gain access to the data in a connected MySQL database.

4.8

CVE-2017-17825

Exploit
  • EPSS 0.24%
  • Veröffentlicht 21.12.2017 04:29:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

The Batch Manager component of Piwigo 2.9.2 is vulnerable to Persistent Cross Site Scripting via tags-* array parameters in an admin.php?page=batch_manager&mode=unit request. An attacker can exploit this to hijack a client's browser along with the da...

6.1

CVE-2017-17826

Exploit
  • EPSS 0.24%
  • Veröffentlicht 21.12.2017 04:29:00
  • Zuletzt bearbeitet 20.04.2025 01:37:25

The Configuration component of Piwigo 2.9.2 is vulnerable to Persistent Cross Site Scripting via the gallery_title parameter in an admin.php?page=configuration&section=main request. An attacker can exploit this to hijack a client's browser along with...