22 results (0.010 seconds)

CVSS: 4.3EPSS: 0%CPEs: 26EXPL: 2

Multiple cross-site scripting (XSS) vulnerabilities in Francisco Burzi PHP-Nuke 8.0 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) sender_name or (2) sender_email parameter in a Feedback action to modules.php. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Francisco Burzi PHP-Nuke v8.0 y anteriores, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro a (1)sender_name o (2)sender_email en la acción Feedback en modules.php. • http://www.openwall.com/lists/oss-security/2011/03/23/8 http://www.openwall.com/lists/oss-security/2011/03/30/7 http://yehg.net/lab/pr0js/advisories/%5Bphpnuke-8.x%5D_cross_site_scripting • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.8EPSS: 0%CPEs: 26EXPL: 2

Multiple cross-site request forgery (CSRF) vulnerabilities in mainfile.php in Francisco Burzi PHP-Nuke 8.0 and earlier allow remote attackers to hijack the authentication of administrators for requests that (1) add user accounts or (2) grant the administrative privilege to a user account, related to a Referer check that uses a substring comparison. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en mainfile.php en Francisco Burzi PHP-Nuke v8.0 , permite a atacantes remotos secuestrar la autenticación de los administradores para (1)agregar cuentas de usuario o (2) la concesión de privilegios de administrador a una cuenta de usuario, relacionado con una comprobación de Referer que utiliza una comparación de subcadenas. . • http://www.openwall.com/lists/oss-security/2011/03/23/9 http://www.openwall.com/lists/oss-security/2011/03/30/8 http://yehg.net/lab/pr0js/advisories/%5Bphpnuke-8.x%5D_cross_site_request_forgery • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 7.5EPSS: 0%CPEs: 26EXPL: 2

SQL injection vulnerability in admin.php in the administration backend in Francisco Burzi PHP-Nuke 8.0 and earlier allows remote attackers to execute arbitrary SQL commands via the chng_uid parameter. Vulnerabilidad de inyección SQL en admin.php en la zona de administración de Francisco Burzi PHP-Nuke v8.0 y anteriores, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro chng_uid. • http://www.openwall.com/lists/oss-security/2011/03/23/7 http://www.openwall.com/lists/oss-security/2011/03/30/6 http://yehg.net/lab/pr0js/advisories/%5Bphpnuke-8.x%5D_sql_injection • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 7.5EPSS: 0%CPEs: 25EXPL: 1

SQL injection vulnerability in the Sections module in PHP-Nuke, probably before 8.0, allows remote attackers to execute arbitrary SQL commands via the artid parameter in a printpage action to modules.php. Vulnerabilidad de inyección SQL en el modulo "Sections" de PHP-Nuke probablemente en versiones anteriores a v8.0. Permite a usuarios remotos ejecutar comandos SQL de su elección a través del parámetro "artid" de una acción printpage solicitada a modules.php. • http://marc.info/?l=bugtraq&m=123073887531700&w=2 http://osvdb.org/52033 http://www.securityfocus.com/archive/1/499656/100/0/threaded • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 6.8EPSS: 1%CPEs: 1EXPL: 2

SQL injection vulnerability in index.php in the Search module in PHP-Nuke 8.0 FINAL and earlier, when magic_quotes_gpc is disabled, allows remote attackers to execute arbitrary SQL commands via the sid parameter in a comments action to modules.php. NOTE: some of these details are obtained from third party information. Vulnerabilidad de inyección SQL en el fichero index.php del módulo Search de PHP-Nuke 8.0 FINAL y versiones anteriores. Cuando magic_quotes_gpc está deshabilitado, permite que atacantes remotos ejecuten comandos SQL de su elección usando el parámetro sid en una acción comments en modules.php. NOTA: algunos de estos detalles han sido obtenidos de terceros. • https://www.exploit-db.com/exploits/4965 http://secunia.com/advisories/28624 http://www.securityfocus.com/bid/27408 http://www.vupen.com/english/advisories/2008/0264 https://exchange.xforce.ibmcloud.com/vulnerabilities/39850 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •