CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28642
https://notcve.org/view.php?id=CVE-2020-28642
In InfiniteWP Admin Panel before 3.1.12.3, resetPasswordSendMail generates a weak password-reset code, which makes it easier for remote attackers to conduct admin Account Takeover attacks. En InfiniteWP Admin Panel versiones anteriores a 3.1.12.3, la función resetPasswordSendMail genera un código de restablecimiento de contraseña débil, lo que facilita a atacantes remotos conducir ataques de Toma de Control de Cuenta de administrador • https://www.whitehack.de/advisories/HWADV2020-001.txt • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9521
https://notcve.org/view.php?id=CVE-2014-9521
Unrestricted file upload vulnerability in uploadScript.php in InfiniteWP Admin Panel before 2.4.4, when the allWPFiles query parameter is set, allows remote attackers to execute arbitrary code by uploading a file with a double extension, then accessing it via a direct request to the file in the uploads directory, as demonstrated by the .php.swp filename. Vulnerabilidad de la subida de ficheros sin restricciones en uploadScript.php en InfiniteWP Admin Panel anterior a 2.4.4, cuando el parámetro allWPFiles query está configurado, permite a atacantes remotos ejecutar código arbitrario mediante la subida de un fichero con una extensión doble, posteriormente accediéndolo a través de una solicitud directa al fichero en el directorio de subidas, tal y como fue demostrado por el nombre de fichero .php.swp. • http://seclists.org/fulldisclosure/2014/Dec/43 https://lifeforms.nl/20141210/infinitewp-vulnerabilities • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9519
https://notcve.org/view.php?id=CVE-2014-9519
SQL injection vulnerability in login.php in InfiniteWP Admin Panel before 2.4.3 allows remote attackers to execute arbitrary SQL commands via the email parameter. Vulnerabilidad de inyección SQL en login.php en InfiniteWP Admin Panel anterior a 2.4.3 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro email. • http://seclists.org/fulldisclosure/2014/Dec/43 https://lifeforms.nl/20141210/infinitewp-vulnerabilities • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9520
https://notcve.org/view.php?id=CVE-2014-9520
SQL injection vulnerability in execute.php in InfiniteWP Admin Panel before 2.4.4 allows remote attackers to execute arbitrary SQL commands via the historyID parameter. Vulnerabilidad de inyección SQL en execute.php en InfiniteWP Admin Panelanterior a 2.4.4 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro historyID. • http://seclists.org/fulldisclosure/2014/Dec/43 https://lifeforms.nl/20141210/infinitewp-vulnerabilities • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •