B3log

Symphony

6 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
9.8

CVE-2024-23049

Exploit
  • EPSS 3.75%
  • Veröffentlicht 05.02.2024 23:15:08
  • Zuletzt bearbeitet 17.06.2025 20:15:29

An issue in symphony v.3.6.3 and before allows a remote attacker to execute arbitrary code via the log4j component.

6.1

CVE-2019-17488

Exploit
  • EPSS 0.24%
  • Veröffentlicht 10.10.2019 21:15:10
  • Zuletzt bearbeitet 21.11.2024 04:32:21

b3log Symphony (aka Sym) before 3.6.0 has XSS via the HTTP User-Agent header.

4.8

CVE-2018-16249

Exploit
  • EPSS 0.45%
  • Veröffentlicht 20.06.2019 14:15:10
  • Zuletzt bearbeitet 21.11.2024 03:52:22

In Symphony before 3.3.0, there is XSS in the Title under Post. The ID "articleTitle" of this is stored in the "articleTitle" JSON field, and executes a payload when accessing the /member/test/points URI, allowing remote attacks. Any Web script or HT...

6.1

CVE-2019-9142

  • EPSS 0.24%
  • Veröffentlicht 25.02.2019 15:29:00
  • Zuletzt bearbeitet 21.11.2024 04:51:04

An issue was discovered in b3log Symphony (aka Sym) before v3.4.7. XSS exists via the userIntro and userNickname fields to processor/SettingsProcessor.java.

9.8

CVE-2018-10469

Exploit
  • EPSS 0.8%
  • Veröffentlicht 27.04.2018 04:29:00
  • Zuletzt bearbeitet 21.11.2024 03:41:22

b3log Symphony (aka Sym) 2.6.0 allows remote attackers to upload and execute arbitrary JSP files via the name[] parameter to the /upload URI.

5.4

CVE-2017-16821

Exploit
  • EPSS 0.19%
  • Veröffentlicht 15.11.2017 03:29:02
  • Zuletzt bearbeitet 20.04.2025 01:37:25

b3log Symphony (aka Sym) 2.2.0 has XSS in processor/AdminProcessor.java in the admin console, as demonstrated by a crafted X-Forwarded-For HTTP header that is mishandled during display of a client IP address in /admin/user/userid.