The cross-site request forgery (CSRF) protection mechanism in e107 prior to 0.7.23 uses a predictable random token based on the creation date of the administrator account, which allows remote malicious users to hijack the authentication of administrators for requests that add new users via e107_admin/users.php.
Vulnerable Product | Search on Vulmon | Subscribe to Product |
---|---|---|
e107 e107 0.7.0 |
||
e107 e107 0.7.15 |
||
e107 e107 0.554 |
||
e107 e107 0.553 |
||
e107 e107 0.7.10 |
||
e107 e107 0.7.16 |
||
e107 e107 0.7.14 |
||
e107 e107 0.602 |
||
e107 e107 0.601 |
||
e107 e107 0.600 |
||
e107 e107 0.612 |
||
e107 e107 0.617 |
||
e107 e107 0.6171 |
||
e107 e107 0.7.5 |
||
e107 e107 0.7.4 |
||
e107 e107 0.7.11 |
||
e107 e107 0.555 |
||
e107 e107 0.548 |
||
e107 e107 0.7.13 |
||
e107 e107 0.7.12 |
||
e107 e107 0.6_15 |
||
e107 e107 0.6_13 |
||
e107 e107 0.551 |
||
e107 e107 0.7.19 |
||
e107 e107 0.7.18 |
||
e107 e107 0.547 |
||
e107 e107 0.6_12 |
||
e107 e107 0.6_11 |
||
e107 e107 0.6_10 |
||
e107 e107 0.607 |
||
e107 e107 0.610 |
||
e107 e107 0.611 |
||
e107 e107 0.6172 |
||
e107 e107 0.6173 |
||
e107 e107 0.7.3 |
||
e107 e107 0.7.2 |
||
e107 e107 0.7.8 |
||
e107 e107 0.7.20 |
||
e107 e107 0.606 |
||
e107 e107 0.604 |
||
e107 e107 0.614 |
||
e107 e107 0.608 |
||
e107 e107 0.6175 |
||
e107 e107 0.616 |
||
e107 e107 0.7.7 |
||
e107 e107 0.7.1 |
||
e107 e107 |
||
e107 e107 0.549 |
||
e107 e107 0.552 |
||
e107 e107 0.7.17 |
||
e107 e107 0.545 |
||
e107 e107 0.7.9 |
||
e107 e107 0.6_15a |
||
e107 e107 0.6_14 |
||
e107 e107 0.605 |
||
e107 e107 0.603 |
||
e107 e107 0.613 |
||
e107 e107 0.615 |
||
e107 e107 0.609 |
||
e107 e107 0.6174 |
||
e107 e107 0.615a |
||
e107 e107 0.7.6 |
||
e107 e107 0.7 |
||
e107 e107 0.7.21 |