27 results (0.010 seconds)

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 3

SQL injection vulnerability in the Web_Links module for PHP-Nuke 8.0 allows remote attackers to execute arbitrary SQL commands via the url parameter in an Add action to modules.php. Vulnerabilidad de inyección de comandos SQL en el módulo Web_Links para PHP-Nuke v8.0, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro url en una acción Add en modules.php • https://www.exploit-db.com/exploits/14589 http://www.exploit-db.com/exploits/14589 http://www.itsecteam.com/en/vulnerabilities/vulnerability58.htm https://exchange.xforce.ibmcloud.com/vulnerabilities/61012 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0

Francisco Burzi PHP-Nuke 8.0 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by themes/Odyssey/theme.php and certain other files. Francisco Burzi PHP-Nuke v8.0 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con themes/Odyssey/theme.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/PHP-Nuke-8.0 http://www.openwall.com/lists/oss-security/2011/06/27/6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 4.3EPSS: 0%CPEs: 26EXPL: 2

Multiple cross-site scripting (XSS) vulnerabilities in Francisco Burzi PHP-Nuke 8.0 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) sender_name or (2) sender_email parameter in a Feedback action to modules.php. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Francisco Burzi PHP-Nuke v8.0 y anteriores, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro a (1)sender_name o (2)sender_email en la acción Feedback en modules.php. • http://www.openwall.com/lists/oss-security/2011/03/23/8 http://www.openwall.com/lists/oss-security/2011/03/30/7 http://yehg.net/lab/pr0js/advisories/%5Bphpnuke-8.x%5D_cross_site_scripting • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.8EPSS: 0%CPEs: 26EXPL: 2

Multiple cross-site request forgery (CSRF) vulnerabilities in mainfile.php in Francisco Burzi PHP-Nuke 8.0 and earlier allow remote attackers to hijack the authentication of administrators for requests that (1) add user accounts or (2) grant the administrative privilege to a user account, related to a Referer check that uses a substring comparison. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en mainfile.php en Francisco Burzi PHP-Nuke v8.0 , permite a atacantes remotos secuestrar la autenticación de los administradores para (1)agregar cuentas de usuario o (2) la concesión de privilegios de administrador a una cuenta de usuario, relacionado con una comprobación de Referer que utiliza una comparación de subcadenas. . • http://www.openwall.com/lists/oss-security/2011/03/23/9 http://www.openwall.com/lists/oss-security/2011/03/30/8 http://yehg.net/lab/pr0js/advisories/%5Bphpnuke-8.x%5D_cross_site_request_forgery • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 7.5EPSS: 0%CPEs: 26EXPL: 2

SQL injection vulnerability in admin.php in the administration backend in Francisco Burzi PHP-Nuke 8.0 and earlier allows remote attackers to execute arbitrary SQL commands via the chng_uid parameter. Vulnerabilidad de inyección SQL en admin.php en la zona de administración de Francisco Burzi PHP-Nuke v8.0 y anteriores, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro chng_uid. • http://www.openwall.com/lists/oss-security/2011/03/23/7 http://www.openwall.com/lists/oss-security/2011/03/30/6 http://yehg.net/lab/pr0js/advisories/%5Bphpnuke-8.x%5D_sql_injection • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •