MidnightBSD

Advisories for e107

CVE-2003-1191 MEDIUM

chatbox.php in e107 0.554 and 0.603 allows remote attackers to cause a denial of service (pages fail to load) via HTML in the Name field, which prevents the main.php form from being loaded.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.603
e107 e107 0.545
CVE-2004-2028 MEDIUM

Cross-site scripting (XSS) vulnerability in stats.php in e107 allows remote attackers to inject arbitrary web script or HTML via the referer parameter to log.php.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.6_11
e107 e107 0.603
e107 e107 0.555_beta
e107 e107 0.6_12
e107 e107 0.545
e107 e107 0.6_15a
e107 e107 0.6_13
e107 e107 0.6_15
e107 e107 0.6_10
e107 e107 0.6_14
e107 e107 0.554
CVE-2004-2031 MEDIUM

Cross-site scripting (XSS) vulnerability in user.php in e107 allows remote attackers to inject arbitrary web script or HTML via the (1) URL, (2) MSN, or (3) AIM fields.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.612
e107 e107 0.603
e107 e107 0.555_beta
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.613
e107 e107 0.614
e107 e107 0.615
e107 e107 0.610
e107 e107 0.611
e107 e107 0.554
CVE-2004-2039 MEDIUM

e107 0.615 allows remote attackers to obtain sensitive information via a direct request to (1) alt_news.php, (2) backend_menu.php, (3) clock_menu.php, (4) counter_menu.php, (5) login_menu.php, and other files, which reveal the full path in a PHP error message.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.6_15a
e107 e107 0.6_15
CVE-2004-2040 MEDIUM

Multiple cross-site scripting (XSS) vulnerabilities in e107 0.615 allow remote attackers to inject arbitrary web script or HTML via the (1) LAN_407 parameter to clock_menu.php, (2) "email article to a friend" field, (3) "submit news" field, or (4) avmsg parameter to usersettings.php.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.6_15a
e107 e107 0.6_15
CVE-2004-2042 HIGH

Multiple SQL injection vulnerabilities in e107 0.615 allow remote attackers to inject arbitrary SQL code and gain sensitive information via (1) content parameter to content.php, (2) content_id parameter to content.php, or (3) list parameter to news.php.

CVSS 2.0

Severity: HIGH

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.615a
e107 e107 0.615
CVE-2004-2262 HIGH

ImageManager in e107 before 0.617 does not properly check the types of uploaded files, which allows remote attackers to execute arbitrary code by uploading a PHP file via the upload parameter to images.php.

CVSS 2.0

Severity: HIGH

Problem Type: CWE-434,

Products Affected

Vendor Product Version
e107 e107 *
CVE-2005-1949 HIGH

The eping_validaddr function in functions.php for the ePing plugin for e107 portal allows remote attackers to execute arbitrary commands via shell metacharacters after a valid argument to the eping_host parameter.

CVSS 2.0

Severity: HIGH

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 *
CVE-2005-1966 HIGH

The eTrace_validaddr function in eTrace plugin for e107 portal allows remote attackers to execute arbitrary commands via shell metacharacters after a valid argument to the etrace_host parameter.

CVSS 2.0

Severity: HIGH

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 1.0.1
CVE-2005-2327 MEDIUM

Cross-site scripting (XSS) vulnerability in e107 0.617 and earlier allows remote attackers to inject arbitrary web script or HTML via nested [url] BBCode tags.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.549_beta
e107 e107 5.1
e107 e107 0.603
e107 e107 0.553_beta
e107 e107 5.4_beta4
e107 e107 0.613
e107 e107 0.554_beta
e107 e107 5.21
e107 e107 0.551_beta
e107 e107 0.602
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.606
e107 e107 5.4_beta3
e107 e107 0.552_beta
e107 e107 0.555_beta
e107 e107 0.605
e107 e107 5.3_beta2
e107 e107 0.600
e107 e107 5.4_beta6
e107 e107 0.547_beta
e107 e107 0.610
e107 e107 5.3_beta
e107 e107 5.4_beta1
e107 e107 0.604
e107 e107 0.615a
e107 e107 0.601
e107 e107 5.04
e107 e107 5.05
e107 e107 0.548_beta
e107 e107 0.612
e107 e107 0.617
e107 e107 5.4_beta5
e107 e107 0.616
e107 e107 0.608
e107 e107 0.611
CVE-2005-2559 HIGH

doping.php in ePing plugin 1.02 and earlier for e107 portal allows remote attackers to execute arbitrary code or overwrite files via (1) shell metacharacters in the eping_count parameter or (2) restricted shell metacharacters such as ">" and "&" in the eping_host parameter, which is not handled by the validation function.

CVSS 2.0

Severity: HIGH

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 *
CVE-2005-2805 MEDIUM

forum_post.php in e107 0.6 allows remote attackers to post to non-existent forums by modifying the forum number.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.603
e107 e107 0.617
e107 e107 0.616
CVE-2005-3521 HIGH

SQL injection vulnerability in resetcore.php in e107 0.617 through 0.6173 allows remote attackers to execute arbitrary SQL commands, bypass authentication, and inject HTML or script via the (1) a_name parameter or (2) user field of the login page.

CVSS 2.0

Severity: HIGH

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.617
e107 e107 0.6172
e107 e107 0.6171
CVE-2005-3594 MEDIUM

game_score.php in e107 allows remote attackers to insert high scores via HTTP POST methods utilizing the $player_name, $player_score, and $game_name variables.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 *
CVE-2005-4051 MEDIUM

e107 0.6174 allows remote attackers to vote multiple times for a download via repeated requests to rate.php.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.6174
CVE-2005-4224 HIGH

Multiple "potential" SQL injection vulnerabilities in e107 0.7 might allow remote attackers to execute arbitrary SQL commands via (1) the email, hideemail, image, realname, signature, timezone, and xupexist parameters in signup.php, (2) the content_comment, content_rating, and content_summary parameters in subcontent.php, (3) the download_category and file_demo in upload.php, and (4) the email, hideemail, user_timezone, and user_xup parameters in usersettings.php.

CVSS 2.0

Severity: HIGH

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.7
CVE-2006-0682 MEDIUM

Multiple cross-site scripting (XSS) vulnerabilities in bbcodes system in e107 before 0.7.2 allow remote attackers to inject arbitrary web script or HTML via unknown attack vectors.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.549_beta
e107 e107 5.1
e107 e107 5.2
e107 e107 0.603
e107 e107 0.6172
e107 e107 0.553_beta
e107 e107 5.4_beta4
e107 e107 0.613
e107 e107 0.554_beta
e107 e107 0.551_beta
e107 e107 0.602
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.606
e107 e107 5.4_beta3
e107 e107 0.552_beta
e107 e107 0.555_beta
e107 e107 0.6173
e107 e107 0.605
e107 e107 0.6171
e107 e107 5.3_beta2
e107 e107 0.600
e107 e107 5.4_beta6
e107 e107 0.547_beta
e107 e107 0.610
e107 e107 5.3_beta
e107 e107 5.4_beta1
e107 e107 0.7
e107 e107 0.604
e107 e107 0.6175
e107 e107 0.615a
e107 e107 0.601
e107 e107 5.04
e107 e107 0.7.1
e107 e107 0.615
e107 e107 5.05
e107 e107 0.548_beta
e107 e107 0.6174
e107 e107 0.612
e107 e107 0.617
e107 e107 5.4_beta5
e107 e107 0.616
e107 e107 0.608
e107 e107 0.611
CVE-2006-0857 MEDIUM

Cross-site scripting (XSS) vulnerability in Chatbox Plugin 1.0 in e107 0.7.2 allows remote attackers to inject arbitrary HTML or web script via a Chatbox, as demonstrated using a SCRIPT element.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 chatbox_plugin 1.0
e107 e107 0.7.2
CVE-2006-2416 MEDIUM

SQL injection vulnerability in class2.php in e107 0.7.2 and earlier allows remote attackers to execute arbitrary SQL commands via a cookie as defined in $pref['cookie_name'].

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-89,

Products Affected

Vendor Product Version
e107 e107 0.7
e107 e107 0.603
e107 e107 0.6175
e107 e107 0.6_12
e107 e107 0.545
e107 e107 0.7.1
e107 e107 0.6_13
e107 e107 0.6_10
e107 e107 0.6_14
e107 e107 0.6_11
e107 e107 0.555_beta
e107 e107 0.617
e107 e107 0.6171
e107 e107 0.7.2
e107 e107 0.6_15a
e107 e107 0.616
e107 e107 0.6_15
e107 e107 0.554
CVE-2006-2590 MEDIUM

SQL injection vulnerability in e107 before 0.7.5 allows remote attackers to execute arbitrary SQL commands via unknown attack vectors.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.7.5
CVE-2006-2591 MEDIUM

Unspecified vulnerability in e107 before 0.7.5 has unknown impact and remote attack vectors related to an "emailing exploit".

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.7.5
CVE-2006-3259 MEDIUM

Multiple cross-site scripting (XSS) vulnerabilities in e107 0.7.5 allow remote attackers to inject arbitrary web script or HTML via the (1) ep parameter to search.php and the (2) subject parameter in comment.php (aka the Subject field when posting a comment).

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.549_beta
e107 e107 0.603
e107 e107 0.6172
e107 e107 0.553_beta
e107 e107 0.613
e107 e107 0.554_beta
e107 e107 0.7.4
e107 e107 0.551_beta
e107 e107 0.602
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.6_13
e107 e107 0.606
e107 e107 0.6_14
e107 e107 0.552_beta
e107 e107 0.555_beta
e107 e107 0.6173
e107 e107 0.605
e107 e107 0.6171
e107 e107 0.600
e107 e107 0.547_beta
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.7
e107 e107 0.604
e107 e107 0.6175
e107 e107 *
e107 e107 0.6_12
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.6_10
e107 e107 0.615
e107 e107 0.548_beta
e107 e107 0.6174
e107 e107 0.6_11
e107 e107 0.612
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.6_15a
e107 e107 0.616
e107 e107 0.608
e107 e107 0.6_15
e107 e107 0.611
CVE-2008-2020 MEDIUM

The CAPTCHA implementation as used in (1) Francisco Burzi PHP-Nuke 7.0 and 8.1, (2) my123tkShop e-Commerce-Suite (aka 123tkShop) 0.9.1, (3) phpMyBitTorrent 1.2.2, (4) TorrentFlux 2.3, (5) e107 0.7.11, (6) WebZE 0.5.9, (7) Open Media Collectors Database (aka OpenDb) 1.5.0b4, and (8) Labgab 1.1 uses a code_bg.jpg background image and the PHP ImageString function in a way that produces an insufficient number of different images, which allows remote attackers to pass the CAPTCHA test via an automated attack using a table of all possible image checksums and their corresponding digit strings.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
nvd@nist.gov 7.5 HIGH CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 3.9 3.6

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-330,

Products Affected

Vendor Product Version
e107 e107 0.7.11
webze webze 0.5.9
phpnuke php-nuke 7.0
opendb opendb 1.5.0
labgab labgab 1.1
phpmybittorrent phpmybittorrent 1.2.2
phpnuke php-nuke 8.1
my123tkshop e-commerce-suite 0.9.1
torrentflux_project torrentflux 2.3
CVE-2010-0996 MEDIUM

Unrestricted file upload vulnerability in e107 before 0.7.20 allows remote authenticated users to execute arbitrary code by uploading a .php.filetypesphp file. NOTE: the vendor disputes the significance of this issue, noting that "an odd set of preferences and a missing file" are required.

CVSS 2.0

Severity: MEDIUM

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 5.1
e107 e107 0.6172
e107 e107 0.602
e107 e107 0.7.15
e107 e107 0.7.5
e107 e107 0.6173
e107 e107 0.549
e107 e107 0.6171
e107 e107 0.551
e107 e107 0.7
e107 e107 0.6175
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 5.04
e107 e107 0.615
e107 e107 5.05
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.616
e107 e107 0.7.6
e107 e107 0.611
e107 e107 0.553
e107 e107 0.603
e107 e107 0.7.8
e107 e107 0.613
e107 e107 5.21
e107 e107 0.7.4
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.7.16
e107 e107 0.606
e107 e107 0.7.7
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.547
e107 e107 5.4
e107 e107 0.605
e107 e107 0.600
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.604
e107 e107 0.555
e107 e107 *
e107 e107 0.552
e107 e107 0.7.18
e107 e107 0.615a
e107 e107 5.3
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.548
e107 e107 0.6174
e107 e107 0.612
e107 e107 0.608
e107 e107 0.7.17
CVE-2010-0997 LOW

Cross-site scripting (XSS) vulnerability in 107_plugins/content/content_manager.php in the Content Management plugin in e107 before 0.7.20, when the personal content manager is enabled, allows user-assisted remote authenticated users to inject arbitrary web script or HTML via the content_heading parameter.

CVSS 2.0

Severity: LOW

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 0.7.3
e107 e107 *
e107 e107 0.7.8
e107 e107 0.7.18
e107 e107 0.7.10
e107 e107 0.7.4
e107 e107 0.7.14
e107 e107 0.7.1
e107 e107 0.7.16
e107 e107 0.7.15
e107 e107 0.7.7
e107 e107 0.7.11
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.7.9
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.2
e107 e107 0.7.6
e107 e107 0.7.17
CVE-2010-2098 HIGH

Incomplete blacklist vulnerability in usersettings.php in e107 0.7.20 and earlier allows remote attackers to conduct SQL injection attacks via the loginname parameter.

CVSS 2.0

Severity: HIGH

Problem Type: NVD-CWE-Other,

Products Affected

Vendor Product Version
e107 e107 0.6172
e107 e107 0.602
e107 e107 0.7.15
e107 e107 0.6_14
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.6173
e107 e107 0.549
e107 e107 0.6171
e107 e107 0.551
e107 e107 0.7
e107 e107 0.6175
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.6_10
e107 e107 0.615
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.6_11
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.616
e107 e107 0.7.6
e107 e107 0.611
e107 e107 0.553
e107 e107 0.603
e107 e107 0.7.8
e107 e107 0.613
e107 e107 0.7.4
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.7.16
e107 e107 0.6_13
e107 e107 0.606
e107 e107 0.7.7
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.19
e107 e107 0.547
e107 e107 0.605
e107 e107 0.600
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.604
e107 e107 0.555
e107 e107 *
e107 e107 0.552
e107 e107 0.6_12
e107 e107 0.7.18
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.548
e107 e107 0.6174
e107 e107 0.612
e107 e107 0.6_15a
e107 e107 0.608
e107 e107 0.7.17
e107 e107 0.6_15
CVE-2010-2099 HIGH

bbcode/php.bb in e107 0.7.20 and earlier does not perform access control checks for all inputs that could contain the php bbcode tag, which allows remote attackers to execute arbitrary PHP code, as demonstrated using the toEmail method in contact.php, related to invocations of the toHTML method.

CVSS 2.0

Severity: HIGH

Problem Type: CWE-264,

Products Affected

Vendor Product Version
e107 e107 0.6172
e107 e107 0.602
e107 e107 0.7.15
e107 e107 0.6_14
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.6173
e107 e107 0.549
e107 e107 0.6171
e107 e107 0.551
e107 e107 0.7
e107 e107 0.6175
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.6_10
e107 e107 0.615
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.6_11
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.616
e107 e107 0.7.6
e107 e107 0.611
e107 e107 0.553
e107 e107 0.603
e107 e107 0.7.8
e107 e107 0.613
e107 e107 0.7.4
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.7.16
e107 e107 0.6_13
e107 e107 0.606
e107 e107 0.7.7
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.19
e107 e107 0.547
e107 e107 0.605
e107 e107 0.600
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.604
e107 e107 0.555
e107 e107 *
e107 e107 0.552
e107 e107 0.6_12
e107 e107 0.7.18
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.548
e107 e107 0.6174
e107 e107 0.612
e107 e107 0.6_15a
e107 e107 0.608
e107 e107 0.7.17
e107 e107 0.6_15
CVE-2010-4757 MEDIUM

Cross-site scripting (XSS) vulnerability in submitnews.php in e107 before 0.7.23 allows remote attackers to inject arbitrary web script or HTML via the submitnews_title parameter, a different vector than CVE-2008-6208. NOTE: some of these details are obtained from third party information. NOTE: this might be the same as CVE-2009-4083.1 or CVE-2011-0457.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 0.6172
e107 e107 0.602
e107 e107 0.7.21
e107 e107 0.7.15
e107 e107 0.6_14
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.6173
e107 e107 0.549
e107 e107 0.6171
e107 e107 0.551
e107 e107 0.7.20
e107 e107 0.7
e107 e107 0.6175
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.6_10
e107 e107 0.615
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.6_11
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.616
e107 e107 0.7.6
e107 e107 0.611
e107 e107 0.553
e107 e107 0.603
e107 e107 0.7.8
e107 e107 0.613
e107 e107 0.7.4
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.7.16
e107 e107 0.6_13
e107 e107 0.606
e107 e107 0.7.7
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.19
e107 e107 0.547
e107 e107 0.605
e107 e107 0.600
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.604
e107 e107 0.555
e107 e107 *
e107 e107 0.552
e107 e107 0.6_12
e107 e107 0.7.18
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.548
e107 e107 0.6174
e107 e107 0.612
e107 e107 0.6_15a
e107 e107 0.608
e107 e107 0.7.17
e107 e107 0.6_15
CVE-2010-5084 MEDIUM

The cross-site request forgery (CSRF) protection mechanism in e107 before 0.7.23 uses a predictable random token based on the creation date of the administrator account, which allows remote attackers to hijack the authentication of administrators for requests that add new users via e107_admin/users.php.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 0.6172
e107 e107 0.602
e107 e107 0.7.21
e107 e107 0.7.15
e107 e107 0.6_14
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.6173
e107 e107 0.549
e107 e107 0.6171
e107 e107 0.551
e107 e107 0.7.20
e107 e107 0.7
e107 e107 0.6175
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.6_10
e107 e107 0.615
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.6_11
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.616
e107 e107 0.7.6
e107 e107 0.611
e107 e107 0.553
e107 e107 0.603
e107 e107 0.7.8
e107 e107 0.613
e107 e107 0.7.4
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.7.16
e107 e107 0.6_13
e107 e107 0.606
e107 e107 0.7.7
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.19
e107 e107 0.547
e107 e107 0.605
e107 e107 0.600
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.604
e107 e107 0.555
e107 e107 *
e107 e107 0.552
e107 e107 0.6_12
e107 e107 0.7.18
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.548
e107 e107 0.6174
e107 e107 0.612
e107 e107 0.6_15a
e107 e107 0.608
e107 e107 0.7.17
e107 e107 0.6_15
CVE-2011-0457 MEDIUM

Cross-site scripting (XSS) vulnerability in e107 0.7.22 and earlier allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 0.6172
e107 e107 0.602
e107 e107 0.7.21
e107 e107 0.7.15
e107 e107 0.6_14
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.6173
e107 e107 0.549
e107 e107 0.6171
e107 e107 0.551
e107 e107 0.7.20
e107 e107 0.7
e107 e107 0.6175
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.6_10
e107 e107 0.615
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.6_11
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.616
e107 e107 0.7.6
e107 e107 0.611
e107 e107 0.553
e107 e107 0.603
e107 e107 0.7.8
e107 e107 0.613
e107 e107 0.7.4
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.7.16
e107 e107 0.6_13
e107 e107 0.606
e107 e107 0.7.7
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.19
e107 e107 0.547
e107 e107 0.605
e107 e107 0.600
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.604
e107 e107 0.555
e107 e107 *
e107 e107 0.552
e107 e107 0.6_12
e107 e107 0.7.18
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.548
e107 e107 0.6174
e107 e107 0.612
e107 e107 0.6_15a
e107 e107 0.608
e107 e107 0.7.17
e107 e107 0.6_15
CVE-2011-1513 HIGH

Static code injection vulnerability in install_.php in e107 CMS 0.7.24 and probably earlier versions, when the installation script is not removed, allows remote attackers to inject arbitrary PHP code into e107_config.php via a crafted MySQL server name.

CVSS 2.0

Severity: HIGH

Problem Type: CWE-78,

Products Affected

Vendor Product Version
e107 e107 0.6172
e107 e107 0.602
e107 e107 0.7.21
e107 e107 0.7.15
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.6173
e107 e107 0.549
e107 e107 0.6171
e107 e107 0.551
e107 e107 0.7.20
e107 e107 0.7
e107 e107 0.6175
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.615
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.617
e107 e107 0.7.2
e107 e107 0.616
e107 e107 0.7.6
e107 e107 0.611
e107 e107 0.553
e107 e107 0.603
e107 e107 0.7.8
e107 e107 0.613
e107 e107 0.7.4
e107 e107 0.607
e107 e107 0.614
e107 e107 0.609
e107 e107 0.7.16
e107 e107 0.606
e107 e107 0.7.7
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.19
e107 e107 0.547
e107 e107 0.605
e107 e107 0.600
e107 e107 0.610
e107 e107 0.554
e107 e107 0.7.3
e107 e107 0.604
e107 e107 0.555
e107 e107 *
e107 e107 0.552
e107 e107 0.7.18
e107 e107 0.615a
e107 e107 0.545
e107 e107 0.601
e107 e107 0.7.1
e107 e107 0.548
e107 e107 0.6174
e107 e107 0.7.22
e107 e107 0.612
e107 e107 0.608
e107 e107 0.7.17
CVE-2011-3731 MEDIUM

e107 0.7.24 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by e107_plugins/pdf/e107pdf.php and certain other files.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-200,

Products Affected

Vendor Product Version
e107 e107 0.7.24
CVE-2011-4920 MEDIUM

Multiple cross-site scripting (XSS) vulnerabilities in e107 0.7.26, and other versions before 1.0.0, allow remote attackers to inject arbitrary web script or HTML via the URL to (1) e107_images/thumb.php or (2) rate.php, (3) resend_name parameter to e107_admin/users.php, and (4) link BBCode in user signatures.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 0.7.26
CVE-2011-4921 MEDIUM

SQL injection vulnerability in usersettings.php in e107 0.7.26, and possibly other versions before 1.0.0, allows remote attackers to execute arbitrary SQL commands via the username parameter.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-89,

Products Affected

Vendor Product Version
e107 e107 0.7.26
CVE-2012-3843 MEDIUM

Cross-site scripting (XSS) vulnerability in the registration page in e107, probably 1.0.1, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 1.0.1
CVE-2012-6433 MEDIUM

Cross-site request forgery (CSRF) vulnerability in e107_admin/newspost.php in e107 1.0.1 allows remote attackers to hijack the authentication of administrators for requests that conduct XSS attacks via the news_title parameter in a create action.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 1.0.1
CVE-2012-6434 MEDIUM

Multiple cross-site request forgery (CSRF) vulnerabilities in e107_admin/download.php in e107 1.0.2 allow remote attackers to hijack the authentication of administrators for requests that conduct SQL injection attacks via the (1) download_url, (2) download_url_extended, (3) download_author_email, (4) download_author_website, (5) download_image, (6) download_thumb, (7) download_visible, or (8) download_class parameter.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 1.0.2
CVE-2013-2750 MEDIUM

Cross-site scripting (XSS) vulnerability in e107_plugins/content/handlers/content_preset.php in e107 before 1.0.3 allows remote attackers to inject arbitrary web script or HTML via the query string.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 0.7.8
e107 e107 0.7.4
e107 e107 0.7.21
e107 e107 0.7.16
e107 e107 0.7.24
e107 e107 0.7.15
e107 e107 0.7.7
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 0.7.19
e107 e107 1.0.1
e107 e107 0.7.26
e107 e107 0.7.3
e107 e107 0.7.20
e107 e107 *
e107 e107 0.7.18
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.7.1
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.7.22
e107 e107 0.7.2
e107 e107 0.7.6
e107 e107 0.7.17
CVE-2013-7305 MEDIUM

fpw.php in e107 through 1.0.4 does not check the user_ban field, which makes it easier for remote attackers to reset passwords by sending a pwsubmit request and leveraging access to the e-mail account of a banned user.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-255,

Products Affected

Vendor Product Version
e107 e107 0.7.8
e107 e107 0.7.4
e107 e107 0.7.21
e107 e107 0.7.16
e107 e107 0.7.24
e107 e107 0.7.15
e107 e107 0.7.7
e107 e107 0.7.0
e107 e107 0.7.5
e107 e107 0.7.13
e107 e107 0.7.12
e107 e107 1.0.3
e107 e107 0.7.19
e107 e107 1.0.1
e107 e107 0.7.26
e107 e107 0.7.3
e107 e107 0.7.20
e107 e107 *
e107 e107 0.7.18
e107 e107 0.7.10
e107 e107 0.7.14
e107 e107 0.7.1
e107 e107 0.7.11
e107 e107 0.7.9
e107 e107 0.7.22
e107 e107 0.7.2
e107 e107 0.7.6
e107 e107 0.7.17
e107 e107 1.0.2
CVE-2014-4734 MEDIUM

Cross-site scripting (XSS) vulnerability in e107_admin/db.php in e107 2.0 alpha2 and earlier allows remote attackers to inject arbitrary web script or HTML via the type parameter.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 2.0
e107 e107 *
CVE-2014-9459 MEDIUM

Cross-site request forgery (CSRF) vulnerability in the AdminObserver function in e107_admin/users.php in e107 2.0 alpha2 allows remote attackers to hijack the authentication of administrators for requests that add users to the administrator group via the id parameter in an admin action.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 2.0
CVE-2015-1041 MEDIUM

Cross-site scripting (XSS) vulnerability in e107_admin/filemanager.php in e107 1.0.4 allows remote attackers to inject arbitrary web script or HTML via the e107_files/ file path in the QUERY_STRING.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 1.0.4
CVE-2015-1057 MEDIUM

Cross-site scripting (XSS) vulnerability in usersettings.php in e107 2.0.0 allows remote attackers to inject arbitrary web script or HTML via the "Real Name" value.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 2.0.0
CVE-2016-10378 MEDIUM

e107 2.1.1 allows SQL injection by remote authenticated administrators via the pagelist parameter to e107_admin/menus.php, related to the menuSaveVisibility function.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-89,

Products Affected

Vendor Product Version
e107 e107 2.1.1
CVE-2016-10753 MEDIUM

e107 2.1.2 allows PHP Object Injection with resultant SQL injection, because usersettings.php uses unserialize without an HMAC.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-502,

Products Affected

Vendor Product Version
e107 e107 2.1.2
CVE-2017-8098 MEDIUM

e107 2.1.4 is vulnerable to cross-site request forgery in plugin-installing, meta-changing, and settings-changing. A malicious web page can use forged requests to make e107 download and install a plug-in provided by the attacker.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 2.1.4
CVE-2018-11127 MEDIUM

e107 2.1.7 has CSRF resulting in arbitrary user deletion.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 2.1.7
CVE-2018-11734 MEDIUM

In e107 v2.1.7, output without filtering results in XSS.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 2.1.7
CVE-2018-15901 MEDIUM

e107 2.1.8 has CSRF in 'usersettings.php' with an impact of changing details such as passwords of users including administrators.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 2.1.8
CVE-2018-16381 MEDIUM

e107 2.1.8 has XSS via the e107_admin/users.php?mode=main&action=list user_loginname parameter.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 2.1.8
CVE-2018-16388 MEDIUM

e107_web/js/plupload/upload.php in e107 2.1.8 allows remote attackers to execute arbitrary PHP code by uploading a .php filename with the image/jpeg content type.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-434,

Products Affected

Vendor Product Version
e107 e107 2.1.8
CVE-2018-16389 MEDIUM

e107_admin/banlist.php in e107 2.1.8 allows SQL injection via the old_ip parameter.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-89,

Products Affected

Vendor Product Version
e107 e107 2.1.8
CVE-2018-17081 MEDIUM

e107 2.1.9 allows CSRF via e107_admin/wmessage.php?mode=&action=inline&ajax_used=1&id= for changing the title of an arbitrary page.

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 2.1.9
CVE-2018-17423 LOW

An issue was discovered in e107 v2.1.9. There is a XSS attack on e107_admin/comment.php.

CVSS 2.0

Severity: LOW

Problem Type: CWE-79,

Products Affected

Vendor Product Version
e107 e107 2.1.9
CVE-2021-27885 MEDIUM

usersettings.php in e107 through 2.3.0 lacks a certain e_TOKEN protection mechanism.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
nvd@nist.gov 8.8 HIGH CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 2.8 5.9

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-352,

Products Affected

Vendor Product Version
e107 e107 *
CVE-2022-50905

e107 CMS version 3.2.1 contains multiple vulnerabilities that allow cross-site scripting (XSS) attacks. The first vulnerability is a reflected XSS that occurs in the news comment functionality when authenticated users interact with the comment form. An attacker can inject malicious JavaScript code through the URL parameter that gets executed when users click outside the comment field after typing content. The second vulnerability involves an upload restriction bypass for authenticated administrators, allowing them to upload SVG files containing malicious code through the media manager's remote URL upload feature. This results in stored XSS when the uploaded SVG files are accessed. These vulnerabilities were discovered by Hubert Wojciechowski and affect the news.php and image.php components of the CMS.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
disclosure@vulncheck.com 9.8 CRITICAL CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 3.9 5.9

Products Affected

Vendor Product Version
e107 e107 3.2.1
CVE-2022-50906

e107 CMS 3.2.1 contains an upload restriction bypass vulnerability that allows authenticated administrators to upload malicious SVG files through the media manager. Attackers with admin privileges can exploit this vulnerability to upload SVG files with embedded cross-site scripting (XSS) payloads that can execute arbitrary scripts when viewed.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
disclosure@vulncheck.com 6.4 MEDIUM CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N 3.1 2.7

Products Affected

Vendor Product Version
e107 e107 3.2.1
CVE-2022-50907

e107 CMS version 3.2.1 contains a file upload vulnerability that allows authenticated administrative users to bypass upload restrictions and execute PHP files. Attackers can upload malicious PHP files to parent directories by manipulating the upload URL parameter, enabling remote code execution through the Media Manager import feature.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
disclosure@vulncheck.com 8.8 HIGH CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 2.8 5.9

Products Affected

Vendor Product Version
e107 e107 3.2.1
CVE-2022-50916

e107 CMS version 3.2.1 contains a file upload vulnerability that allows authenticated administrators to override server files through the Media Manager import functionality. Attackers can exploit the upload mechanism by manipulating the upload URL parameter to overwrite existing files like top.php in the web application directory.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
disclosure@vulncheck.com 8.8 HIGH CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 2.8 5.9

Products Affected

Vendor Product Version
e107 e107 3.2.1
CVE-2022-50939

e107 CMS version 3.2.1 contains a critical file upload vulnerability that allows authenticated administrators to override arbitrary server files through path traversal. The vulnerability exists in the Media Manager's remote URL upload functionality (image.php) where the upload_caption parameter is not properly sanitized. An attacker with administrative privileges can use directory traversal sequences (../../../) in the upload_caption field to overwrite critical system files outside the intended upload directory. This can lead to complete compromise of the web application by overwriting configuration files, executable scripts, or other critical system components. The vulnerability was discovered by Hubert Wojciechowski and affects the image.php component in the admin interface.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
disclosure@vulncheck.com 7.2 HIGH CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 1.2 5.9

Products Affected

Vendor Product Version
e107 e107 3.2.1
CVE-2023-36121

Cross Site Scripting vulnerability in e107 v.2.3.2 allows a remote attacker to execute arbitrary code via the description function in the SEO project.

Products Affected

Vendor Product Version
e107 e107 2.3.2
CVE-2023-43873

A Cross Site Scripting (XSS) vulnerability in e017 CMS v.2.3.2 allows a local attacker to execute arbitrary code via a crafted script to the Name filed in the Manage Menu.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
nvd@nist.gov 5.4 MEDIUM CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 2.3 2.7

Products Affected

Vendor Product Version
e107 e107_cms 2.3.2
CVE-2023-43874

Multiple Cross Site Scripting (XSS) vulnerability in e017 CMS v.2.3.2 allows a local attacker to execute arbitrary code via a crafted script to the Copyright and Author fields in the Meta & Custom Tags Menu.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
134c704f-9b21-4f2e-91b3-4a467353bcc0 5.4 MEDIUM CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 2.3 2.7
nvd@nist.gov 5.4 MEDIUM CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 2.3 2.7

Products Affected

Vendor Product Version
e107 e107_cms 2.3.2
CVE-2025-11941 MEDIUM

A vulnerability was detected in e107 CMS up to 2.3.3. This impacts an unknown function of the file /e107_admin/image.php?mode=main&action=avatar of the component Avatar Handler. Performing manipulation of the argument multiaction[] results in path traversal. It is possible to initiate the attack remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
cna@vuldb.com 5.4 MEDIUM CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L 2.8 2.5

CVSS 2.0

Severity: MEDIUM

Problem Type: CWE-22,

Products Affected

Vendor Product Version
e107 e107 *
CVE-2025-61505

e107 CMS thru 2.3.3 are vulnerable to insecure deserialization in the `install.php` script. The script processes user-controlled input in the `previous_steps` POST parameter using `unserialize(base64_decode())` without validation, allowing attackers to craft malicious serialized data. This could lead to remote code execution, arbitrary file operations, or denial of service, depending on available PHP object gadgets in the codebase.

CVSS 3.x

Source Score Severity Vector Exploitability Impact
134c704f-9b21-4f2e-91b3-4a467353bcc0 6.5 MEDIUM CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 3.9 2.5

Products Affected

Vendor Product Version
e107 e107 *