Webcalendar
Уязвимости
35
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.79764
Распределение по критичности
Критический
1
Высокий
11
Средний
22
Низкий
1
Также сопоставлено как (исходные строки): webcalendar
Топ уязвимостей
CVE-2012-1495install/index.php в WebCalendar до версии 1.2.5 позволяет удаленным злоумышленникам выполнять произвольный код через параметр form_single_user_login.
CVE-2012-1496Локальное включение файлов в WebCalendar до версии 1.2.5.
CVE-2012-5385install/index.php в Craig Knudsen WebCalendar до версии 1.2.5 позволяет удаленным злоумышленникам изменять settings.php и, возможно, выполнять произвольный код через векторы, связанные с настройками пользовательской темы.
CVE-2008-2836Уязвимость удаленного включения PHP-файлов в send_reminders.php в WebCalendar 1.0.4 позволяет удаленным злоумышленникам выполнять произвольный PHP-код через URL-адрес в параметре includedir и значение 0 для параметра noSet, который отличается от CVE-2007-1483.
CVE-2007-1483Множественные уязвимости удаленного включения файлов PHP в WebCalendar 0.9.45 позволяют удаленным злоумышленникам выполнять произвольный код PHP через URL в параметре includedir для (1) login.php, (2) get_reminders.php или (3) get_events.php.
CVE-2007-1343includes/functions.php в Craig Knudsen WebCalendar до 1.0.5 не защищает переменную noSet от внешнего изменения, что позволяет удаленным злоумышленникам устанавливать произвольные глобальные переменные через URL-адрес с измененными значениями в параметре noSet, что приводит к результирующим уязвимостям, которые, вероятно, включают удаленное включение файлов и другие проблемы.
CVE-2005-3984SQL-инъекция в WebCalendar 1.0.1 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр time_range в edit_report_handler.php. ПРИМЕЧАНИЕ: вектор startid/activity_log.php уже охвачен CVE-2005-3949.
CVE-2005-3949Множественные SQL-инъекции в WebCalendar 1.0.1 позволяют удаленным злоумышленникам выполнять произвольные SQL-команды через (1) параметр startid в activity_log.php, (2) параметр startid в admin_handler.php, (3) параметр template в edit_template.php и (4) множественные параметры в export_handler.php.
CVE-2005-2717Уязвимость удаленного включения PHP-файлов в WebCalendar до версии 1.0.1 позволяет удаленным злоумышленникам выполнять произвольный PHP-код при открытии settings.php, возможно, через send_reminders.php или другие скрипты.
CVE-2005-2320WebCalendar до 1.0.0 неправильно ограничивает доступ к assistant_edit.php, что позволяет удаленным злоумышленникам получить привилегии.
CVE-2004-1510WebCalendar позволяет удаленным злоумышленникам повышать привилегии, изменяя критические параметры в (1) view_entry.php или (2) upcoming.php.
CVE-2004-1508init.php в WebCalendar позволяет удаленным злоумышленникам выполнять произвольные локальные PHP-скрипты через параметр user_inc.
CVE-2010-0638Уязвимость межсайтовой подделки запросов (CSRF) в WebCalendar 1.2.0 позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые изменяют пароль администратора через неизвестные векторы. ПРИМЕЧАНИЕ: происхождение этой информации неизвестно; подробности получены исключительно из сторонних источников.
CVE-2010-0637Множественные уязвимости межсайтовой подделки запросов (CSRF) в WebCalendar 1.2.0 и других версиях до 1.2.5 позволяют удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые (1) удаляют событие или (2) блокируют IP-адрес от публикации через неизвестные векторы. ПРИМЕЧАНИЕ: некоторые из этих сведений получены из сторонних источников.
CVE-2006-6669Уязвимость межсайтового скриптинга (XSS) в export_handler.php в WebCalendar 1.0.4 и более ранних версиях позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр format.
CVE-2006-2762Уязвимость удаленного включения PHP-файлов в includes/config.php в WebCalendar 1.0.3 позволяет удаленным злоумышленникам выполнять произвольный PHP-код через URL в параметре includedir, который удаленно вызывается в вызове fopen, результаты которого используются для определения параметра user_inc, используемого в вызове include_once.
CVE-2005-0474Уязвимость SQL-инъекции в функции user_valid_crypt в user.php в WebCalendar 0.9.45 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через закодированный cookie webcalendar_session.
CVE-2024-22635В WebCalendar v1.3.0 обнаружена уязвимость отраженного межсайтового скриптинга (XSS) через компонент /WebCalendarvqsmnseug2/edit_entry.php.
CVE-2017-10840Уязвимость межсайтового скриптинга в WebCalendar 1.2.7 и более ранних версиях позволяет злоумышленнику внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2013-1422webcalendar до версии 1.2.7 показывает причину неудачной попытки входа в систему (например, "no such user").
CVE-2007-2383Фреймворк Prototype (prototypejs) до версии 1.5.1 RC3 обменивается данными, используя нотацию объектов JavaScript (JSON) без связанной схемы защиты, что позволяет удаленным злоумышленникам получать данные через веб-страницу, которая извлекает данные через URL в атрибуте SRC элемента SCRIPT и захватывает данные с помощью другого кода JavaScript, также известного как "JavaScript Hijacking".
CVE-2006-2247WebCalendar 1.0.1 - 1.0.3 генерирует разные сообщения об ошибках в зависимости от того, является ли имя пользователя действительным или нет, что позволяет удаленным злоумышленникам перечислять действительные имена пользователей.
CVE-2006-1537Craig Knudsen WebCalendar 1.1.0-CVS позволяет удаленным злоумышленникам получать конфиденциальную информацию через прямой запрос к (1) includes/index.php, (2) tests/add_duration_test.php, (3) tests/all_tests.php, (4) groups.php, (5) nonusers.php, (6) includes/settings.php, (7) includes/init.php, (8) includes/settings.php.orig, (9) includes/js/admin.php, (10) includes/js/edit_entry.php, (11) includes/js/edit_layer.php, (12) includes/js/export_import.php, (13) includes/js/popups.php, (14) includes/js/pref.php или (15) includes/menu/index.php, которые раскрывают путь в различных сообщениях об ошибках.
CVE-2005-3982Уязвимость CRLF-инъекции в layers_toggle.php в WebCalendar 1.0.1 может позволить удаленным злоумышленникам изменять HTTP-заголовки и проводить атаки с разделением HTTP-ответа через параметр ret, который используется для перенаправления URL-запросов.
CVE-2005-3961export_handler.php в WebCalendar 1.0.1 позволяет удаленным злоумышленникам перезаписывать файлы данных WebCalendar через измененный параметр id.